Nemrég jelent meg a CrystalRAT, egy malware-as-a-service modellben működő kártevő, amit jelenleg aktívan hirdetnek Telegrammon. A szolgáltatás távoli hozzáférést, adatlopást, keyloggingot, valamint clipboard hijacking-et kínál az előfizetők számára.

A kártevő 2026 januárjában bukkant fel, és egy többszintű előfizetéses konstrukcióban érhető el. A Telegram csatornája mellett YouTube-on is népszerűsítik, ahol egy dedikált marketingcsatornán keresztül mutatják be a funkcionalitását. A Kaspersky kutatói szerint a CrystalRAT jelentős hasonlóságokat mutat a WebRAT (más néven Salat Stealer) nevű kártevővel: azonos vezérlőpanel-kialakítás, Go nyelven írt kód, valamint egy hasonló, botokra épülő értékesítési rendszer figyelhető meg.

A CrystalX néven is hivatkozott malware különlegessége, hogy a klasszikus adatlopási képességek mellett kiterjedt „prankware” funkciókat is tartalmaz, amelyek célja a felhasználó zavarása vagy a munkavégzés akadályozása. Bár ezek a funkciók első ránézésre szórakoztató jellegűnek tűnnek, a háttérben egy kifejezetten erős adatlopó mechanizmus működik.

A Kaspersky elemzése szerint a kártevő egy felhasználóbarát vezérlőpanelt és egy automatizált build eszközt biztosít az operátorok számára, amely széleskörű testreszabást tesz lehetővé. A lehetőségek közé tartozik például a geoblokkolás, a futtatható állományok testreszabása, valamint a különféle analízis-ellenes technikák alkalmazása, mint az anti-debugging, virtuális gép detektálás vagy proxy felismerés.

A generált payloadok zlib tömörítéssel és ChaCha20 szimmetrikus stream titkosítással vannak védve, ami megnehezíti a detektálást és a visszafejtést. A fertőzött rendszerek WebSocket kapcsolaton keresztül kommunikálnak a vezérlőszerverrel (C2), és rendszerinformációkat küldenek a profilozás és a fertőzések nyomon követése céljából.

Az infostealer komponens Chromium-alapú böngészőket céloz meg a ChromeElevator eszköz segítségével, valamint az Opera és Yandex böngészőkkel is „kompatibilis”. Emellett különböző asztali alkalmazásokból is gyűjt adatokat, például a Steam, Discord és Telegram kliensekből.

A távoli hozzáférési modul CMD-n keresztül teszi lehetővé a parancsok végrehajtását, a fájlok fel és letöltését, a fájlrendszer böngészését, valamint a valós idejű vezérlést a beépített VNC funkción keresztül. A kártevő kémprogram-szerű viselkedést is mutat, mivel képes hang és videófelvételek készítésére a fertőzött eszköz mikrofonján és kameráján keresztül.

A CrystalX tartalmaz továbbá egy keylogger komponenst is, amely valós időben továbbítja a billentyűleütéseket a C2 szerver felé, valamint egy úgynevezett clipper modult, amely reguláris kifejezések segítségével felismeri a vágólapon található kriptotárca-címeket, és azokat a támadó által megadott címekre cseréli.

A MaaS piacon való kitűnés egyik kulcsa a kiterjedt prankware funkciók jelenléte. A fertőzött rendszereken a kártevő képes például a háttér megváltoztatására, a kijelző elforgatására, kényszerített leállítás végrehajtására, az egér gombjainak újrakiosztására, a beviteli eszközök (billentyűzet, egér, monitor) letiltására, hamis értesítések megjelenítésére, a kurzor pozíciójának módosítására, illetve a rendszerkomponensek elrejtésére (asztali ikonok, tálca, feladatkezelő, parancssor). Emellett egy támadó–áldozat chatablakot is biztosít.

Bár ezek a funkciók közvetlenül nem növelik a támadások monetizációs potenciálját, egyértelműen megkülönböztetik a terméket a piacon, és vonzóvá tehetik azt a kevésbé tapasztalt, alacsonyabb technikai szintű fenyegetési szereplők, az úgynevezett „script kiddie-k” számára.