Эксперты «Лаборатории Касперского» обнаружили троян удаленного доступа CrystalX RAT. Помимо стандартного набора функций RAT, малварь совмещает возможности стилера, кейлоггера, клиппера и шпионского ПО, а еще умеет «шутить» над жертвой — трясти курсор, менять обои, переворачивать экран и отправлять сообщения. Малварь распространяется по модели MaaS и нацелена преимущественно на российских пользователей. Впервые CrystalX (изначально названный Webcrystal RAT) был замечен в январе 2026 года в приватных Telegram-чатах для разработчиков RAT. При этом исследователи отмечают, что дизайн панели управления и код практически полностью копируют уже известный WebRAT (он же Salat Stealer) — оба вредоноса написаны на Go, и даже сообщения ботов, через которые продаются ключи доступа, совпадают. Спустя некоторое время малварь была переименована в CrystalX, обзавелась собственным Telegram-каналом и даже YouTube-аккаунтом, где демонстрируются возможности вредоноса. Панель управления CrystalX RAT позволяет клиентам собирать билды с гибкой настройкой: геоблокировка по странам, выбор иконки для исполняемого файла и набор средств защиты от анализа. Каждый имплант сжимается с помощью zlib и шифруется алгоритмом ChaCha20 с жестко заданным 32-байтным ключом и 12-байтным одноразовым кодом. Среди опциональных защитных мер — обнаружение виртуальных машин, проверка на MITM (поиск прокси, сертификатов Fiddler, Burp Suite и mitmproxy), цикл защиты от отладки и скрытые патчи функций AmsiScanBuffer, EtwEventWrite и MiniDumpWriteDump. После запуска в системе жертвы вредонос устанавливает соединение с управляющим сервером через WebSocket и приступает к сбору данных. Стилер извлекает учетные данные Steam, Discord и Telegram, а для браузеров на базе Chromium использует утилиту ChromeElevator. Для Opera и «Яндекс Браузера» в малвари реализован отдельный механизм расшифровки баз данных. Подчеркивается, что в актуальных на момент анализа билдах функции стилера были временно отключены для дообработки. Кейлоггер перехватывает и передает все нажатия клавиш на управляющий сервер в режиме реального времени через WebSocket. Клиппер, в свою очередь, внедряется в Chrome или Edge как вредоносное расширение и с помощью регулярных выражений подменяет адреса криптовалютных кошельков (Bitcoin, Litecoin, Monero, Doge и других) на адреса злоумышленников. При этом RAT-модуль дает злоумышленникам возможность выгружать файлы, выполнять команды через cmd.exe, просматривать файловую систему и управлять машиной через встроенный VNC. Кроме того, малварь способна перехватывать аудио с микрофона и видео с камеры зараженного устройства. Однако исследователи пишут, что по-настоящему CrystalX выделяется своими prankware-функциями — разделом Rofl в панели управления. С помощью Rofl-функций атакующие могут менять обои рабочего стола, поворачивать экран на 90, 180 или 270 градусов, инвертировать кнопки мыши, отключать монитор и блокировать ввод с клавиатуры, скрывать иконки рабочего стола и панель задач, запускать хаотичное дрожание курсора и показывать всплывающие уведомления. Помимо этого, оператор может открыть диалоговое окно для двусторонней переписки с жертвой. Таким образом, пользователь буквально наблюдает, как его компьютер выходит из-под контроля.
Зловред является полнофункциональным инструментом для кражи данных и слежки, при этом позволяет атакующим оказывать дополнительное психологическое давление на жертву. Наша телеметрия обнаруживает новые версии имплантов, а значит, это вредоносное ПО активно разрабатывается и поддерживается. Мы ожидаем, что в ближайшем будущем число жертв значительно возрастет, а география распространения расширится», — предупреждает Леонид Безвершенко (Leonid Bezverzhenko), старший эксперт Kaspersky GReAT.
Источник: https://xakep.ru/2026/04/02/crystalx/