Откривена је нова активна злонамерна кампања која дистрибуира до сада недокументован РАТ са веома широким скупом функционалности. Поред стандардних функција тројанца за даљински приступ, он обједињује функционалности крадљивца података (stealer), алата који бележи притиске на тастере (keylogger), алата за замену садржаја клипборда (clipper) и шпијунског софтвера (spyware). Сајбер криминалци га продају трећим странама као МааС (малwаре-ас-а-сервице), промовишући га на ЈуТјубу и Телеграму, чиме се повећава вероватноћа његове употребе међу бројним актерима, укључујући и мање веште оператере.
Захваљујући својим „ stealer “ функцијама, малвер може прикупити широк спектар података о жртви: прикупља системске информације, извлачи креденцијале за Steam, Discord и Telegram, као и податке из веб прегледача. Такође представља претњу корисницима криптовалута, јер укључује клипер заснован на прегледачу који замењује адресе крипто новчаника. Поред крађе података, CrystalX RAT је способан за потпуни надзор, уз могућност прављења снимака екрана, снимања звука са микрофона и хватања видео записа како са веб камере, тако и са екрана жртве.
Посебно је значајан „prank “ скуп функција CrystalX RAT-а, који програмери активно промовишу. Ове опције омогућавају оператерима да видљиво ометају систем жртве померањем курсора миша, постављањем позадина на екран, променом оријентације екрана, скривањем десктоп икона, принудним гашењем система, па чак и слањем обавештења и порука у реалном времену. Иако делују безазлено, ове функције уносе ометајућу и психолошку димензију у напад, чинећи га видљивим и узнемирујућим за жртву.
Стручњаци из Kaspersky Global Research & Analysis Team (GReAT) пријављују нападе усмерене на кориснике у Русији, али тројанац има потенцијал да се прошири и на друге земље због свог модела продаје и дистрибуције.
„Овако разноврстан скуп функција практично омогућава компромитовање жртве из свих углова и потпуни губитак приватности. Поред приступа креденцијалима налога, украдени подаци могу се потенцијално користити за уцену. У овом тренутку почетни вектор инфекције није прецизно познат, али већ погађа десетине жртава. Наша телеметрија већ детектује нове верзије имплантата, што указује на то да се овај малвер и даље активно развија и одржава. Очекујемо да ће број жртава значајно расти и да ће се његово географско ширење повећати у блиској будућности“, каже Раде Фуртула, менаџер компаније Касперски за западни Балкан.
Пише Драгана Пешић Левић
Фотографије Касперски
Опширније прочитајте у нашем штампаном издању