A equipa Global Research & Analysis Team (GReAT) da Kaspersky identificou uma campanha maliciosa que distribui um trojan de acesso remoto (RAT) até agora desconhecido, que combina funções de stealer, keylogger, clipper e spyware.
O CrystalX RAT consegue recolher uma vasta quantidade de dados sobre a vítima: reúne informação do sistema, extrai credenciais de plataformas e recolhe também dados de navegadores web. Representa ainda uma ameaça para utilizadores de criptomoedas, uma vez que inclui um clipper baseado no navegador que substitui endereços de carteiras digitais.
Segundo a Kspersky, este malware é ainda capaz de capturar imagens do ecrã, gravar áudio através do microfone e captar vídeo tanto da webcam como do próprio ecrã da vítima e um conjunto de funcionalidades de prankware, que permitem aos atacantes interferir directamente com o sistema, «incluindo mover o cursor do rato, alterar o fundo do ecrã, mudar a orientação do ecrã, ocultar ícones do ambiente de trabalho, forçar o encerramento do sistema e até enviar notificações e mensagens em tempo real».
A empresa refere que apesar de poderem parecer inofensivas, «estas acções introduzem uma dimensão disruptiva e psicológica ao ataque, tornando-o visível e angustiante para a vítima».
Os cibercriminosos estão a comercializá-lo a terceiros como MaaS (malware-as-a-service), promovendo-o no YouTube e no Telegram, o que aumenta a probabilidade da sua utilização em outros países já que até agora apenas foram reportados ataques na Rússia.
Leonid Bezvershenko, investigador sénior de segurança da Kaspersky GReAT, explica que «um conjunto de funcionalidades tão abrangente permite, na prática, um comprometimento total da vítima e uma perda completa de privacidade. Para além do acesso a credenciais, os dados roubados podem ser utilizados para chantagem. A nossa telemetria já detecta novas versões do malware, o que indica que continua a ser activamente desenvolvido e mantido. Esperamos que o número de vítimas cresça significativamente e que a sua propagação geográfica se expanda no curto prazo».
