CrystalRATという名の新しいマルウェア・アズ・ア・サービス(MaaS)がTelegramで宣伝されており、リモートアクセス、データ盗難、キーログ、クリップボード乗っ取り機能を提供しています。
このマルウェアは1月に段階的なサブスクリプションモデルで登場しました。Telegramチャンネルの他に、MaaSはYouTubeでも専用マーケティングチャンネルを通じて宣伝されており、その機能を紹介しています。
Kasperskyの研究者は、今日のレポートでこのマルウェアがWebRAT(Salat Stealer)と強い類似点があると述べています。これには同じパネルデザイン、Goベースのコード、および同様のボットベースの販売システムが含まれます。
CrystalXはまた、ユーザーを困らせたり、その作業を中断したりするために設計された広範なプランクウェア機能のリストも含まれています。その「楽しい」側面にもかかわらず、CrystalXは多くのデータ盗難機能を提供しています。
CrystalX RATの詳細
Kasperskyは、このマルウェアがユーザーフレンドリーなコントロールパネルと、ジオブロッキング、実行ファイルのカスタマイズ、アンチアナリシス機能(アンチデバッグ、VM検出、プロキシ検出など)を含むカスタマイズオプションをサポートする自動ビルダーツールを提供していると述べています。
生成されたペイロードはzlib圧縮され、保護のためにChaCha20対称ストリーム暗号で暗号化されています。
マルウェアはWebSocket経由でコマンド・アンド・コントロール(C2)に接続し、プロファイリングと感染追跡のためにホストに関する情報を送信します。
CrystalXのinfostealerコンポーネント(Kasperskyによって一時的に無効化されており、アップグレードの準備中です)は、ChromeElevatorツール、Yandex、およびOperaを介してChromiumベースのブラウザをターゲットにしています。さらに、このツールはSteam、Discord、Telegramなどのデスクトップアプリケーションからデータを収集します。
リモートアクセスモジュールは、CMDを介してコマンドを実行し、ファイルをアップロード/ダウンロードし、ファイルシステムを閲覧し、組み込みVNCを介してマシンをリアルタイムで制御するために使用できます。
マルウェアはまた、マイクからビデオとオーディオをキャプチャできるため、スパイウェアのような動作を示しています。
最後に、CrystalXはキーストロークをリアルタイムでC2にストリーミングするキーロガーと、クリップボード内のウォレットアドレスを検出し、攻撃者が提供するアドレスで置き換える正規表現を使用するクリッパーツールを備えています。
パッケージに「楽しさ」を加える
CrystalXが混雑したMaaS分野で際立っている点は、豊富なプランクウェア機能セットです。
Kasperskyによると、マルウェアは感染デバイス上で次のことができます:
- デスクトップ壁紙を変更
- ディスプレイの向きをさまざまな角度に変更
- システムのシャットダウンを強制
- マウスボタンを再マップ
- 入力デバイス(キーボード/マウス/モニター)を無効化
- フェイク通知を表示
- 画面上のカーソル位置を変更
- さまざまなコンポーネント(デスクトップアイコン、タスクバー、タスクマネージャー、コマンドプロンプト実行ファイル)を非表示
- 攻撃者と被害者のチャットウィンドウを提供
上記の機能はサイバー犯罪者の攻撃の収益化の可能性を改善しませんが、確実に製品を独特なものにし、スクリプトキディーと低スキル/エントリーレベルの脅威行為者をサブスクリプション購入に誘惑する可能性があります。
プランク機能のもう1つの理由は、データ盗難モジュールがバックグラウンドで実行されている間、被害者の操作の可能性、またはさらには気をそらすことの可能性である可能性があります。
マルウェア感染のリスクを減らすために、ユーザーはオンラインコンテンツと対話するときに注意を払い、信頼できない、または非公式なソースからソフトウェアまたはメディアをダウンロードすることを避けるようにアドバイスされています。
