Nuevo CrystalRAT añade funciones de RAT, robo de datos y bromas informáticas

Iniciado por AXCESS, Abril 02, 2026, 04:17:09 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 02, 2026, 04:17:09 AM


Un nuevo malware como servicio (MaaS) llamado CrystalRAT se está promocionando en Telegram, ofreciendo acceso remoto, robo de datos, registro de pulsaciones de teclas y secuestro del portapapeles.

El malware surgió en enero con un modelo de suscripción escalonada. Además del canal de Telegram, el MaaS también se promocionó en YouTube a través de un canal de marketing dedicado que mostraba sus capacidades.

Investigadores de Kaspersky afirman en un informe publicado hoy que el malware presenta grandes similitudes con WebRAT (Salat Stealer), incluyendo el mismo diseño de panel, código basado en Go y un sistema de ventas similar basado en bots.

CrystalX también incluye una extensa lista de funciones de broma diseñadas para molestar al usuario o interrumpir su trabajo. A pesar de su aspecto "divertido", CrystalX ofrece un amplio conjunto de capacidades de robo de datos.

Canal de Telegram que promociona CrystaX RAT


Detalles de CrystalX RAT

Kaspersky afirma que el malware ofrece un panel de control intuitivo y una herramienta de creación automatizada con opciones de personalización, incluyendo bloqueo geográfico, personalización de ejecutables y funciones anti-análisis (anti-depuración, detección de máquinas virtuales, detección de proxies, etc.).

Las cargas útiles generadas están comprimidas con zlib y cifradas con el cifrado de flujo simétrico ChaCha20 para mayor protección.

El malware se conecta al servidor de comando y control (C2) mediante WebSocket y envía información sobre el host para la creación de perfiles y el seguimiento de la infección.

El componente de robo de información de CrystalX, que Kaspersky encontró temporalmente desactivado mientras se prepara para una actualización, ataca navegadores basados en Chromium a través de la herramienta ChromeElevator, Yandex y Opera. Además, recopila datos de aplicaciones de escritorio como Steam, Discord y Telegram.

El módulo de acceso remoto puede usarse para ejecutar comandos a través de CMD, cargar y descargar archivos, explorar el sistema de archivos y controlar la máquina en tiempo real mediante VNC integrado.

El malware también presenta un comportamiento similar al del spyware, ya que puede capturar video y audio del micrófono.

Finalmente, CrystalX incluye un registrador de pulsaciones de teclas que transmite las pulsaciones en tiempo real al servidor C2, y una herramienta de recorte que utiliza expresiones regulares para detectar direcciones de monedero en el portapapeles y reemplazarlas con las proporcionadas por el atacante.

Función de escritorio remoto en el panel CrystalX RAT


Añadiendo un toque de diversión

Lo que distingue a CrystalX en el saturado mercado de MaaS es su amplio conjunto de funciones de broma.

Según Kaspersky, el malware puede realizar las siguientes acciones en los dispositivos infectados:

Cambiar el fondo de pantalla

Alterar la orientación de la pantalla a diferentes ángulos

Forzar el apagado del sistema

Reasignar los botones del ratón

Deshabilitar los dispositivos de entrada (teclado, ratón y monitor)

Mostrar notificaciones falsas

Cambiar la posición del cursor en la pantalla

Ocultar varios componentes (iconos del escritorio, barra de tareas, Administrador de tareas y el ejecutable del Símbolo del sistema)

Proporcionar una ventana de chat entre atacante y víctima

Si bien estas funciones no mejoran el potencial de monetización del ataque para los ciberdelincuentes, sin duda hacen que el producto sea único y podrían atraer a hackers novatos y a actores de amenazas con poca experiencia a obtener una suscripción.

Otra razón para la existencia de estas funciones de broma podría ser la posibilidad de manipular a la víctima, o incluso distraerla, mientras los módulos de robo de datos se ejecutan en segundo plano.

Para reducir el riesgo de infecciones por malware, se recomienda a los usuarios que tengan precaución al interactuar con contenido en línea y que eviten descargar software o archivos multimedia de fuentes no confiables o no oficiales.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario