HackerNews 编译,转载请注明出处:
一款名为 CrystalRAT 的新型恶意软件即服务(MaaS)正在 Telegram 上推广,具备远程访问、数据窃取、键盘记录以及剪贴板劫持等功能。
该恶意软件于 1 月现身,采用分层订阅模式。除 Telegram 频道外,这款 MaaS 还通过专门的营销频道在 YouTube 上进行推广,展示其功能。
卡巴斯基研究人员在今日发布的报告中指出,这款恶意软件与 WebRAT(Salat 窃取器)极为相似,包括相同的控制界面设计、基于 Go 语言的代码以及类似的基于机器人的销售系统。
CrystalX 详细信息
卡巴斯基表示,该恶意软件提供了一个用户友好的控制面板和一个支持定制选项的自动生成工具,定制选项包括地理封锁、可执行文件定制以及反分析功能(反调试、虚拟机检测、代理检测等)。
生成的有效载荷经过 zlib 压缩,并使用 ChaCha20 对称流密码进行加密保护。
该恶意软件通过 WebSocket 连接到命令与控制(C2)服务器,并发送主机信息用于分析和感染追踪。
卡巴斯基发现,CrystalX 的数据窃取组件因准备升级暂时禁用,它通过 ChromeElevator 工具针对基于 Chromium 内核的浏览器、Yandex 浏览器和 Opera 浏览器进行攻击。此外,该工具还从 Steam、Discord 和 Telegram 等桌面应用程序收集数据。
其远程访问模块可用于通过 CMD 执行命令、上传 / 下载文件、浏览文件系统,以及通过内置的 VNC 实时控制主机。
该恶意软件还具有间谍软件的特性,能够通过麦克风捕获视频和音频。
最后,CrystalX 具备实时将按键记录传输到 C2 服务器的键盘记录器,以及使用正则表达式检测剪贴板中的钱包地址,并将其替换为攻击者提供地址的剪贴板劫持工具。
融入 “趣味” 元素
在众多恶意软件即服务产品中,CrystalX 的独特之处在于其丰富的恶搞功能。
据卡巴斯基介绍,该恶意软件可在受感染设备上执行以下操作:
- 更改桌面壁纸
- 将屏幕显示旋转至不同角度
- 强制系统关机
- 重新映射鼠标按键
- 禁用输入设备(键盘 / 鼠标 / 显示器)
- 显示虚假通知
- 改变屏幕上的光标位置
- 隐藏各种组件(桌面图标、任务栏、任务管理器和命令提示符可执行文件)
- 提供攻击者与受害者的聊天窗口
虽然上述功能无法提升网络犯罪分子攻击的盈利潜力,但确实使该产品独具特色,可能会吸引脚本小子和低技能 / 初级威胁行为者订阅。
加入恶搞功能的另一个原因,可能是在数据窃取模块在后台运行时,能够操纵甚至分散受害者的注意力。
为降低恶意软件感染风险,建议用户在浏览网络内容时保持谨慎,避免从未经信任或非官方来源下载软件或媒体文件。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文