Pesquisadores de segurança descobriram um novo programa malicioso chamado CrystalX RAT. A ameaça funciona como um serviço pago por assinatura e permite que criminosos controlem computadores à distância para roubar informações e fazer brincadeiras com os usuários.
Especialistas da Kaspersky notaram que a ferramenta ganha divulgação em canais do Telegram e em vídeos do YouTube. O sistema oferece um painel de controle simples que facilita o trabalho de invasores com pouco conhecimento técnico.
O malware se destaca por combinar o roubo de dados com funções feitas para irritar a vítima. Os compradores do serviço conseguem realizar diversas ações na máquina infectada.
- Inverter a tela e mudar o papel de parede
- Desativar o teclado e o monitor temporariamente
- Esconder ícones da área de trabalho e a barra de tarefas
- Abrir janelas de bate-papo para conversar direto com o usuário
Enquanto a vítima se distrai com as perturbações na tela, o programa age em segundo plano para capturar senhas e arquivos. O sistema foca em navegadores como Chrome e Opera, além de buscar dados em aplicativos como Steam, Discord e Telegram.
Um dos recursos mais perigosos envolve a troca de endereços de criptomoedas. Quando o usuário copia o código de uma carteira digital, o vírus substitui o texto original pelos dados do invasor sem que ninguém perceba.
Analistas perceberam que o CrystalX RAT é uma versão modificada de um vírus mais antigo conhecido como WebRAT. Os criadores mudaram o nome e a aparência do programa após receberem críticas sobre a cópia do código original.
A maioria das infecções acontece na Rússia no momento atual. Como o serviço não tem bloqueio por região, o vírus pode atingir computadores em qualquer país do mundo.
O programa usa técnicas avançadas para dificultar o trabalho de investigadores de segurança e evitar a análise do código. A conexão com o servidor dos criminosos se mantém sempre ativa para garantir o envio contínuo das informações roubadas.
