🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo malware como serviço chamado CrystalRAT está sendo promovido no Telegram, oferecendo acesso remoto, roubo de dados, keylogging e recursos de sequestro de área de transferência.
O malware surgiu em janeiro com um modelo de assinatura em camadas. Além do canal Telegram, o MaaS também foi promovido no YouTube, através de um canal de marketing dedicado que apresentou suas capacidades.
Os pesquisadores da Kaspersky afirmam em um relatório hoje que o malware apresenta fortes semelhanças com o WebRAT (Salat Stealer), incluindo o mesmo design de painel, código baseado em Go e um sistema de vendas semelhante baseado em bot.
CrystalX também inclui uma extensa lista de recursos de prankware projetados para irritar o usuário ou atrapalhar seu trabalho. Apesar do seu lado “divertido”, o CrystalX oferece um grande conjunto de recursos para roubo de dados.
Canal Telegram promovendo CrystaX RATFonte: Kaspersky
Detalhes do CrystalX RAT
A Kaspersky afirma que o malware fornece um painel de controle fácil de usar e uma ferramenta de construção automatizada que oferece suporte a opções de personalização, incluindo bloqueio geográfico, personalização de executáveis e recursos anti-análise (anti-depuração, detecção de VM, detecção de proxy, etc.).
As cargas geradas são compactadas em zlib e criptografadas com a cifra de fluxo simétrico ChaCha20 para proteção.
O malware se conecta ao comando e controle (C2) via WebSocket e envia informações sobre o host para criação de perfil e rastreamento de infecção.
O componente infostealer do CrystalX, que a Kaspersky descobriu estar temporariamente desativado enquanto está sendo preparado para uma atualização, tem como alvo navegadores baseados em Chromium por meio da ferramenta ChromeElevator, Yandex e Opera. Além disso, a ferramenta coleta dados de aplicativos de desktop como Steam, Discord e Telegram.
O módulo de acesso remoto pode ser usado para executar comandos via CMD, fazer upload/download de arquivos, navegar no sistema de arquivos e controlar a máquina em tempo real via VNC integrado.
O malware também apresenta comportamento semelhante ao de spyware, pois pode capturar vídeo e áudio do microfone.
Por fim, o CrystalX possui um keylogger que transmite as teclas digitadas em tempo real para o C2 e uma ferramenta clipper que usa expressões regulares para detectar endereços de carteira na área de transferência e substituí-los por aqueles fornecidos pelo invasor.
Função de área de trabalho remota no painel CrystalX RATFonte: Kaspersky
Colocando um pouco de “diversão” no pacote
O que diferencia o CrystalX no lotado espaço MaaS é seu rico conjunto de recursos de prankware.
Segundo a Kaspersky, o malware pode fazer o seguinte nos dispositivos infectados:
alterar papel de parede da área de trabalho
alterar a orientação da tela para vários ângulos
forçar o desligamento do sistema
remapear botões do mouse
desativar dispositivos de entrada (teclado/mouse/monitor)
mostrar notificações falsas
alterar a posição do cursor na tela
ocultar vários componentes (ícones da área de trabalho, barra de tarefas, gerenciador de tarefas e executável do prompt de comando)
Fornece janela de bate-papo entre invasor e vítima
Embora os recursos acima não melhorem o potencial de monetização do ataque para os cibercriminosos, eles certamente tornam o produto diferenciado e podem atrair script kiddies e atores de ameaças pouco qualificados/de nível básico para obter uma assinatura.
Outra razão para os recursos de brincadeira pode ser a possibilidade de manipulação da vítima, ou mesmo distração, enquanto os módulos de roubo de dados são executados em segundo plano.
Para reduzir o risco de infecções por malware, os utilizadores são aconselhados a ter cuidado ao interagir com conteúdo online e evitar descarregar software ou multimédia de fontes não confiáveis ou não oficiais.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
O malware surgiu em janeiro com um modelo de assinatura em camadas. Além do canal Telegram, o MaaS também foi promovido no YouTube, através de um canal de marketing dedicado que apresentou suas capacidades.
Os pesquisadores da Kaspersky afirmam em um relatório hoje que o malware apresenta fortes semelhanças com o WebRAT (Salat Stealer), incluindo o mesmo design de painel, código baseado em Go e um sistema de vendas semelhante baseado em bot.
CrystalX também inclui uma extensa lista de recursos de prankware projetados para irritar o usuário ou atrapalhar seu trabalho. Apesar do seu lado “divertido”, o CrystalX oferece um grande conjunto de recursos para roubo de dados.
Canal Telegram promovendo CrystaX RATFonte: Kaspersky
Detalhes do CrystalX RAT
A Kaspersky afirma que o malware fornece um painel de controle fácil de usar e uma ferramenta de construção automatizada que oferece suporte a opções de personalização, incluindo bloqueio geográfico, personalização de executáveis e recursos anti-análise (anti-depuração, detecção de VM, detecção de proxy, etc.).
As cargas geradas são compactadas em zlib e criptografadas com a cifra de fluxo simétrico ChaCha20 para proteção.
O malware se conecta ao comando e controle (C2) via WebSocket e envia informações sobre o host para criação de perfil e rastreamento de infecção.
O componente infostealer do CrystalX, que a Kaspersky descobriu estar temporariamente desativado enquanto está sendo preparado para uma atualização, tem como alvo navegadores baseados em Chromium por meio da ferramenta ChromeElevator, Yandex e Opera. Além disso, a ferramenta coleta dados de aplicativos de desktop como Steam, Discord e Telegram.
O módulo de acesso remoto pode ser usado para executar comandos via CMD, fazer upload/download de arquivos, navegar no sistema de arquivos e controlar a máquina em tempo real via VNC integrado.
O malware também apresenta comportamento semelhante ao de spyware, pois pode capturar vídeo e áudio do microfone.
Por fim, o CrystalX possui um keylogger que transmite as teclas digitadas em tempo real para o C2 e uma ferramenta clipper que usa expressões regulares para detectar endereços de carteira na área de transferência e substituí-los por aqueles fornecidos pelo invasor.
Função de área de trabalho remota no painel CrystalX RATFonte: Kaspersky
Colocando um pouco de “diversão” no pacote
O que diferencia o CrystalX no lotado espaço MaaS é seu rico conjunto de recursos de prankware.
Segundo a Kaspersky, o malware pode fazer o seguinte nos dispositivos infectados:
alterar papel de parede da área de trabalho
alterar a orientação da tela para vários ângulos
forçar o desligamento do sistema
remapear botões do mouse
desativar dispositivos de entrada (teclado/mouse/monitor)
mostrar notificações falsas
alterar a posição do cursor na tela
ocultar vários componentes (ícones da área de trabalho, barra de tarefas, gerenciador de tarefas e executável do prompt de comando)
Fornece janela de bate-papo entre invasor e vítima
Embora os recursos acima não melhorem o potencial de monetização do ataque para os cibercriminosos, eles certamente tornam o produto diferenciado e podem atrair script kiddies e atores de ameaças pouco qualificados/de nível básico para obter uma assinatura.
Outra razão para os recursos de brincadeira pode ser a possibilidade de manipulação da vítima, ou mesmo distração, enquanto os módulos de roubo de dados são executados em segundo plano.
Para reduzir o risco de infecções por malware, os utilizadores são aconselhados a ter cuidado ao interagir com conteúdo online e evitar descarregar software ou multimédia de fontes não confiáveis ou não oficiais.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #novo #malware #crystalrat #adiciona #recursos #de #rat, #ladrão #e #prankware
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário