Um novo malware-as-a-service, chamado CrystalRAT, está sendo promovido no Telegram e oferece recursos de acesso remoto, roubo de dados, keylogging e sequestro da área de transferência.
O malware surgiu em janeiro, com um modelo de assinatura em camadas.
Além do canal no Telegram, o MaaS também foi divulgado no YouTube, por meio de um canal dedicado a marketing que mostrava suas capacidades.
Pesquisadores da Kaspersky afirmam, em um relatório divulgado hoje, que o malware apresenta fortes semelhanças com o WebRAT, também conhecido como Salat Stealer, incluindo o mesmo design de painel, código baseado em Go e um sistema de vendas semelhante, operado por bot.
O CrystalRAT também inclui uma longa lista de recursos de prankware, criados para irritar o usuário ou atrapalhar seu trabalho.
Apesar do lado “divertido”, o CrystalRAT oferece um conjunto amplo de funcionalidades voltadas ao roubo de dados.
Segundo a Kaspersky, o malware traz um painel de controle intuitivo e uma ferramenta automatizada de builder que permite personalizações, incluindo geoblocking, customização do executável e recursos anti-analysis, como anti-debugging, detecção de VM e detecção de proxy.
Os payloads gerados são compactados com zlib e criptografados com o cipher simétrico ChaCha20 para proteção.
O malware se conecta ao command-and-control, ou C2, via WebSocket e envia informações sobre o host para perfilamento e rastreamento da infecção.
O módulo de infostealer do CrystalRAT, que a Kaspersky encontrou temporariamente desativado porque está sendo preparado para uma atualização, mira browsers baseados em Chromium por meio da ferramenta ChromeElevator, além de Yandex e Opera.
Além disso, a ferramenta coleta dados de aplicativos de desktop como Steam, Discord e Telegram.
O módulo de acesso remoto pode ser usado para executar comandos via CMD, fazer upload e download de arquivos, navegar pelo sistema de arquivos e controlar a máquina em tempo real por meio de um VNC integrado.
O malware também exibe comportamento típico de spyware, já que consegue capturar vídeo e áudio do microfone.
Por fim, o CrystalRAT conta com um keylogger que transmite as teclas digitadas em tempo real para o C2, além de uma ferramenta de clipper que usa expressões regulares para detectar endereços de wallet na área de transferência e substituí-los pelos valores fornecidos pelo atacante.
O que diferencia o CrystalRAT em meio ao mercado saturado de MaaS é justamente seu amplo conjunto de recursos de prankware.
Segundo a Kaspersky, o malware pode fazer o seguinte em dispositivos infectados:
alterar o papel de parede da área de trabalho
mudar a orientação da tela para diferentes ângulos
forçar o desligamento do sistema
remapear botões do mouse
desativar dispositivos de entrada, como teclado, mouse e monitor
exibir notificações falsas
mudar a posição do cursor na tela
ocultar vários componentes, como ícones da área de trabalho, barra de tarefas, Gerenciador de Tarefas e o executável do Prompt de Comando
exibir uma janela de chat entre atacante e vítima
Embora esses recursos não aumentem o potencial de monetização do ataque para cibercriminosos, eles tornam o produto mais distinto e podem atrair script kiddies e ameaças de baixo nível ou com pouca experiência para a assinatura.
Outra possível motivação para esses recursos de brincadeira é a manipulação da vítima ou até mesmo a distração, enquanto os módulos de roubo de dados operam em segundo plano.
Para reduzir o risco de infecção por malware, os usuários devem agir com cautela ao interagir com conteúdos online e evitar baixar software ou mídia de fontes não confiáveis ou não oficiais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...