Kaspersky otkriva CrystalX RAT koji krade podatke i ismeva svoje žrtve

Novi trojanac za daljinski pristup (RAT) sposoban je ne samo da krade informacije i u potpunosti špijunira svoje žrtve, već i da im se ruga.

Kaspersky Global Research & Analysis Team (GReAT) otkrio je aktivnu zlonamernu kampanju koja distribuira do sada nedokumentovan RAT sa veoma širokim skupom funkcionalnosti.

Pored standardnih funkcija trojanca za daljinski pristup, on objedinjuje funkcionalnosti kradljivca podataka (stealer), alata koji beleži pritisake na tastere (keylogger), alata za zamenu sadržaja klipborda (clipper) i špijunskog softvera (spyware).

Sajber kriminalci ga prodaju trećim stranama kao MaaS (malware-as-a-service), promovišući ga na YouTube-u i Telegramu, čime se povećava verovatnoća njegove upotrebe među širim spektrom aktera, uključujući i manje vešte operatere.

Zahvaljujući svojim „stealer“ funkcijama, malver može prikupiti širok spektar podataka o žrtvi: prikuplja sistemske informacije, izvlači kredencijale za Steam, Discord i Telegram, kao i podatke iz veb pregledača.

Takođe predstavlja pretnju korisnicima kriptovaluta, jer uključuje clipper zasnovan na pregledaču koji zamenjuje adrese kripto novčanika.

Pored krađe podataka, CrystalX RAT je sposoban za potpuni nadzor, uz mogućnost pravljenja snimaka ekrana, snimanja zvuka sa mikrofona i hvatanja video zapisa kako sa veb kamere, tako i sa ekrana žrtve.

Posebno je značajan „prank“ skup funkcija CrystalX RAT-a, koji programeri aktivno promovišu.

Ove mogućnosti omogućavaju operaterima da vidljivo ometaju sistem žrtve pomeranjem kursora miša, postavljanjem pozadina na ekran, promenom orijentacije ekrana, skrivanjem desktop ikona, prinudnim gašenjem sistema, pa čak i slanjem obaveštenja i poruka u realnom vremenu. Iako deluju bezazleno, ove funkcije unose ometajuću i psihološku dimenziju u napad, čineći ga vidljivim i uznemirujućim za žrtvu.

Kaspersky prijavljuje napade usmerene na korisnike u Rusiji, ali trojanac ima potencijal da se proširi i na druge zemlje zbog svog modela prodaje i distribucije.

„Ovako raznovrstan skup funkcija praktično omogućava kompromitovanje žrtve iz svih uglova i potpuni gubitak privatnosti.

Pored pristupa kredencijalima naloga, ukradeni podaci mogu se potencijalno koristiti za ucenu. U ovom trenutku početni vektor infekcije nije precizno poznat, ali već pogađa desetine žrtava.

Naša telemetrija već detektuje nove verzije implantata, što ukazuje na to da se ovaj malver i dalje aktivno razvija i održava.

Očekujemo da će broj žrtava značajno rasti i da će se njegovo geografsko širenje povećati u bliskoj budućnosti“, kaže Rade Furtula, presales menadžer kompanije Kaspersky za zapadni Balkan.

Da biste ostali bezbedni, Kaspersky preporučuje korisnicima:

• Budite oprezni prilikom otvaranja ili preuzimanja fajlova primljenih putem mesindžera ili e-pošte, jer mogu sadržati malver.

• Budite oprezni pri preuzimanju sadržaja. Bezbednije je instalirati igre i modove isključivo sa zvaničnih izvora ili pouzdanih sajtova. Nezvanični izvori mogu sadržati malver.

• Koristite snažno bezbednosno rešenje na svim računarima i mobilnim uređajima, kao što je Kaspersky Premium. Ono će vas upozoriti i sprečiti svaku infekciju.

• Možete uključiti opciju „prikaži ekstenzije fajlova“ u Windows podešavanjima. To će znatno olakšati prepoznavanje potencijalno zlonamernih fajlova. Pošto su trojanci programi, treba da izbegavate ekstenzije poput „exe“, „vbs“ i „scr“. Sajber kriminalci mogu koristiti više ekstenzija kako bi prikrili zlonamerni fajl kao video, fotografiju ili dokument.

• Obratite pažnju na obaveštenja koja stižu putem e-pošte. Sajber kriminalci često distribuiraju lažne poruke koje imitiraju obaveštenja online prodavnica ili banaka, navodeći korisnika da klikne na zlonamerni link i preuzme malver.