In den letzten Monaten hat sich ein neuer Schauspieler in der Bedrohungslandschaft entwickelt: ein Malware-Service, der als Produkt angeboten wird, auf öffentlichen Kanälen wie Telegram und YouTube gefördert und entwickelt, um jeden mit kriminellen Absicht in einen Betreiber zu verwandeln, der in der Lage ist, Anmeldeinformationen zu spionieren, zu stehlen und Fernbedienung zu steuern. Dies ist ein Angebot von "malware-as-a-service" (MaaS), das ernsthafte Info-Stahlfunktionen mit einer Sammlung von provokativen Tricks kombiniert, die das Opfer stören oder verwirren.
Die Sicherheitsforscher, die diese Bedrohungsfamilie analysiert haben, haben dokumentiert, dass das Projekt zu Beginn des Jahres gestartet wurde und mit einem Level-Abonnement-System arbeitet, das den Zugriff auf unterschiedliche Funktionalitäten erleichtert, wie bezahlt. In ihrer technischen Analyse beschreiben Kaspersky-Spezialisten, dass das schädliche Stück zahlreiche Design-Elemente mit einer anderen bekannten Bedrohung (oft als WebRAT oder Salat Stealer bezeichnet) von der Bedienoberfläche bis zur Basis in der Go-Sprache und dem Marketing-Modell auf Basis von Bots und automatisierten Kanälen teilt. Hier können Sie den technischen Bericht von Kaspersky lesen: Kaspersky - Crystal RAT.
In der Funktionsebene bietet Malware verschiedene typische Fähigkeiten des Fernzugriffs Trojaner und Info-Stealer: Remote-Befehlsausführung, Dateiübertragung, Dateisystemnavigation und Remote-Bildschirmsteuerung über eingebaute VNC. Es enthält auch Spionage-Module, die es erlauben, Audio und Video vom infizierten Computer zu erfassen, sowie einen Schlüsselrecorder, der Echtzeit-Impulse an den Steuerserver sendet. Für Kryptomoneda-Nutzer umfasst es auch einen Clipper: Er erfasst Portfolio-Adressen, die durch regelmäßige Ausdrücke in die Zwischenablage kopiert werden und ersetzt diese durch Adressen, die vom Angreifer kontrolliert werden.
Aus technischer Sicht haben die Schöpfer auf den Schutz ihrer Vertriebskette und die Kommunikation mit ihren Servern geachtet. Der Payloads-Generator ermöglicht es Ihnen, Executables anzupassen und Geo-Blockages anzuwenden, und Malware beinhaltet Anti-Analysemechanismen wie virtualisierte Umgebungserkennung, Proxy-Check und Anti-Debugging. Die generierten Dateien werden mit zlib komprimiert und mit der ChaCha20-Flow-Verschlüsselung verschlüsselt, um es schwierig zu machen, durch Signaturen zu überprüfen und zu erkennen; in den technischen Artikeln zu Zlib und ChaChaCha20.
Die Kommunikation mit dem Bedienpanel erfolgt auf WebSocket, einem Kanal, der persistente und bidirektionale Verbindungen zwischen Malware und seiner Infrastruktur erleichtert, und das ermöglicht dem Bediener, das Profil des kompromittierten Systems zu kennen und eine Aufzeichnung der Infektionen zu halten. Für Browser-Informationsdiebstahl verwendet das Projekt spezielle Tools, um Daten von Chromium-basierten Browsern, wie Chrome, Yandex und Opera zu extrahieren, und sammelt auch Anmeldeinformationen und Daten von beliebten Desktop-Anwendungen zwischen Benutzern und Gamern, wie Steam, Discord und Telegram eigenen Client.
Jenseits der klassischen Funktionen einer RAT, zeichnet sich dieses Produkt durch das Hinzufügen eines Pakets von "prankware" aus: Befehle, die darauf abzielen, Beschwerden zu verursachen oder die Arbeit des Opfers zu unterbrechen. Unter den von Analysten dokumentierten Aktionen sollen die Tapete geändert, die Bildschirmausrichtung gedrückt, umgekehrt oder gedreht werden, Tastatur- oder Mauseinträge deaktiviert, Schnittstellenelemente wie Icons oder Taskleiste verbergen, den Task-Manager blockieren und falsche Benachrichtigungen oder Chat-Fenster anzeigen, um den Benutzer zu täuschen oder abzulenken. Obwohl diese Eigenschaften nicht direkt die Fähigkeit erhöhen, die Intrusion zu monetarisieren, machen sie es auffälliger für Low-Tech-Nutzer und können verwendet werden, um das Opfer ablenken, während Datendiebstahl-Module im Hintergrund handeln.
Laut Analysten zieht die Kombination aus einer zugänglichen Schnittstelle, einem automatisierten Builder- und Anpassungsoptionen niedertechnische Akteure an, die sonst solche Werkzeuge nicht bedienen konnten. Die eigentliche Gefahr besteht darin, dass das MaaS-Modell die Zugangssperre reduziert und die Anzahl der Personen, die Datendiebstahl und Betrugskampagnen ausführen können, multipliziert., etwas, das wir seit Jahren mit anderen Varianten von unerlaubten Dienstleistungen auf dem Web dunkle und messaging Kanäle sehen.
Um den Kontext und die Techniken, die diese Art von Bedrohung verwenden, besser zu verstehen, ist es sinnvoll, sich auf öffentliche Bezugsrahmen zu beziehen, die die Taktiken und die Intrusionstechniken katalogisieren. Das MITRE ATT & CK-Framework bietet ein Inventar von Techniken, die von Gegnern verwendet werden, von der Eingabeerfassung über Exfiltrations- und Vermeidungstechniken und kann als Leitfaden für Sicherheitsexperten dienen: MITRE ATT & CK.
Was können Nutzer und Organisationen tun, um das Risiko zu reduzieren? Die Grundprinzipien der digitalen Hygiene bleiben die wirksamsten: Misstrauen und nicht offene Anhänge oder aus nicht verifizierten Quellen durchsetzen, das Betriebssystem und aktuelle Anwendungen pflegen, erkannte Endpunkterkennungs- und Antiviren-Lösungen nutzen und Multifaktor-Authentifizierung in kritischen Diensten anwenden. Im Falle von Benutzern, die cryptomonedas behandeln, ist es immer angebracht, die Adressen manuell zu überprüfen, bevor sie Transfers vornehmen und Hardware-Portfolios verwenden, um das Risiko von Clippers in der Zwischenablage zu mindern.
Aus organisatorischer Sicht ist es sinnvoll, in Lösungen zu investieren, die anormales Verhalten (z.B. verdächtige WebSocket-Verbindungen von Arbeitsstationen, Prozesse, die auf mehrere Messaging- oder Browser-Anwendungen oder Keylogging-Aktivität zugreifen), sowie Netzwerksegmentierungs- und Anwendungssteuerungsrichtlinien zur Begrenzung der Exposition erkennen. Incident Response Teams sollten Verfahren beibehalten, um kompromittierte Maschinen zu isolieren und Geräte mit forensischen Werkzeugen zu analysieren, die mit komprimierten und verschlüsselten Lasten umgehen können.
Das Erscheinen von Dienstleistungen, die fortgeschrittene Funktionalitäten in leicht zu bedienenden Werkzeugen packen, ist ein besorgniserregender Trend, weil er die Fähigkeit zum Verbrechen im Cyberspace demokratisch macht. Prävention und Bildung sind weiterhin die erste Verteidigungslinie: ein informierter Nutzer und eine vernünftige Sicherheitspolitik erschweren den Erfolg dieser Angriffe stark.
Für diejenigen, die die technische Analyse des beschriebenen Falles vertiefen möchten, bietet der Bericht Kaspersky eine detaillierte Beschreibung der Fähigkeiten, Telemetrie und Panel-Bildschirme, die Betreiber verwenden, und ist ein guter Ausgangspunkt: Kaspersky - Kristall X-Analyse. Darüber hinaus hilft die öffentliche Dokumentation über die in der Analyse zitierten Verschlüsselungs- und Verdichtungsmethoden, zu verstehen, warum Nutzlasten schwerer inspiziert werden können: ChaChaCha20 und Zlib.
Kurz gesagt, die Kombination von Datendiebstahlfunktionen und "Joke"-Elementen macht diese RAT-Familie zu einer vielseitigen Bedrohung: in der Lage, Informationen zu spionieren und auszufiltern, während Unterbrechungen oder Verwirrung verursachen. Die beste Antwort bleibt eine Mischung aus technischen Kontrollen, ständigem Training und einer präventiven Einstellung zur Behandlung von Inhalten und Downloads aus nicht verifizierten Quellen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...