Эксперты «Лаборатории Касперского» обнаружили троян удаленного доступа CrystalX RAT. Помимо стандартного набора функций RAT, малварь совмещает возможности стилера, кейлоггера, клиппера и шпионского ПО, а еще умеет «шутить» над жертвой — трясти курсор, менять обои, переворачивать экран и отправлять сообщения. Малварь распространяется по модели MaaS и нацелена преимущественно на российских пользователей.
Впервые CrystalX (изначально названный Webcrystal RAT) был замечен в январе 2026 года в приватных Telegram-чатах для разработчиков RAT. При этом исследователи отмечают, что дизайн панели управления и код практически полностью копируют уже известный WebRAT (он же Salat Stealer) — оба вредоноса написаны на Go, и даже сообщения ботов, через которые продаются ключи доступа, совпадают.
Спустя некоторое время малварь была переименована в CrystalX, обзавелась собственным Telegram-каналом и даже YouTube-аккаунтом, где демонстрируются возможности вредоноса.
Панель управления CrystalX RAT позволяет клиентам собирать билды с гибкой настройкой: геоблокировка по странам, выбор иконки для исполняемого файла и набор средств защиты от анализа.
Каждый имплант сжимается с помощью zlib и шифруется алгоритмом ChaCha20 с жестко заданным 32-байтным ключом и 12-байтным одноразовым кодом. Среди опциональных защитных мер — обнаружение виртуальных машин, проверка на MITM (поиск прокси, сертификатов Fiddler, Burp Suite и mitmproxy), цикл защиты от отладки и скрытые патчи функций AmsiScanBuffer, EtwEventWrite и MiniDumpWriteDump.
После запуска в системе жертвы вредонос устанавливает соединение с управляющим сервером через WebSocket и приступает к сбору данных. Стилер извлекает учетные данные Steam, Discord и Telegram, а для браузеров на базе Chromium использует утилиту ChromeElevator. Для Opera и «Яндекс Браузера» в малвари реализован отдельный механизм расшифровки баз данных. Подчеркивается, что в актуальных на момент анализа билдах функции стилера были временно отключены для дообработки.
Кейлоггер перехватывает и передает все нажатия клавиш на управляющий сервер в режиме реального времени через WebSocket. Клиппер, в свою очередь, внедряется в Chrome или Edge как вредоносное расширение и с помощью регулярных выражений подменяет адреса криптовалютных кошельков (Bitcoin, Litecoin, Monero, Doge и других) на адреса злоумышленников.
При этом RAT-модуль дает злоумышленникам возможность выгружать файлы, выполнять команды через cmd.exe, просматривать файловую систему и управлять машиной через встроенный VNC. Кроме того, малварь способна перехватывать аудио с микрофона и видео с камеры зараженного устройства.
Однако исследователи пишут, что по-настоящему CrystalX выделяется своими prankware-функциями — разделом Rofl в панели управления.
С помощью Rofl-функций атакующие могут менять обои рабочего стола, поворачивать экран на 90, 180 или 270 градусов, инвертировать кнопки мыши, отключать монитор и блокировать ввод с клавиатуры, скрывать иконки рабочего стола и панель задач, запускать хаотичное дрожание курсора и показывать всплывающие уведомления.
Помимо этого, оператор может открыть диалоговое окно для двусторонней переписки с жертвой. Таким образом, пользователь буквально наблюдает, как его компьютер выходит из-под контроля.
«Зловред является полнофункциональным инструментом для кражи данных и слежки, при этом позволяет атакующим оказывать дополнительное психологическое давление на жертву. Наша телеметрия обнаруживает новые версии имплантов, а значит, это вредоносное ПО активно разрабатывается и поддерживается. Мы ожидаем, что в ближайшем будущем число жертв значительно возрастет, а география распространения расширится», — предупреждает Леонид Безвершенко (Leonid Bezverzhenko), старший эксперт Kaspersky GReAT.
