Un nouveau malware-as-a-service, baptisé CrystalRAT, fait surface sur Telegram, proposant des fonctionnalités de contrôle à distance, de vol de données, de keylogging et de détournement du presse-papiers.
Ce malware a été lancé en janvier et se présente sous un modèle d’abonnement à plusieurs niveaux. En plus de sa promotion sur Telegram, il bénéficie également d’une exposition sur YouTube, où un canal marketing dédié met en avant ses fonctionnalités.
Des chercheurs de Kaspersky ont souligné dans un récent rapport que CrystalRAT présente de fortes ressemblances avec WebRAT (ou Salat Stealer), notamment en ce qui concerne la conception du panneau de contrôle, le code basé sur Go et un système de vente basé sur des bots.
CrystalX intègre également une large gamme de fonctionnalités de prankware destinées à perturber l’utilisateur. Malgré cet aspect ludique, ses capacités de vol de données sont significatives.
Source : Kaspersky
Détails sur CrystalX RAT
Kaspersky indique que ce malware offre un panneau de contrôle intuitif et un outil de création automatisé qui permet divers options de personnalisation, telles que le geoblocking, la personnalisation des exécutables et des fonctionnalités anti-analyse (détection de machine virtuelle, anti-debugging, détection de proxy, etc.).
Les charges utiles générées sont compressées à l’aide de zlib et chiffrées avec le chiffre symétrique ChaCha20. Le malware établit une connexion avec le serveur de commande et de contrôle (C2) via WebSocket, envoyant des informations pour le suivi et le profilage de l’infection.
Un des composants principaux de vol de données, temporairement désactivé pour mise à jour, cible les navigateurs basés sur Chromium grâce à l’outil ChromeElevator, affectant aussi Yandex et Opera. De plus, cet outil permet la collecte de données à partir d’applications de bureau telles que Steam, Discord et Telegram.
Le module de contrôle à distance permet d’exécuter des commandes via CMD, d’uploader ou de télécharger des fichiers, d’explorer le système de fichiers et de prendre le contrôle de la machine en temps réel grâce à un VNC intégré.
Ce malware se comporte comme un logiciel espion, capable de capturer l’audio et la vidéo à partir du microphone.
En complément, CrystalX possède un keylogger qui transmet les frappes en temps réel au C2, ainsi qu’un outil de clipper qui utilise des expressions régulières pour détecter des adresses de portefeuille dans le presse-papiers et les remplacer par celles fournies par l’attaquant.
Source : Kaspersky
Des « fun » features dans l’arsenal
Ce qui distingue CrystalX dans le paysage saturé du MaaS est son ensemble varié de fonctionnalités prankware.
Selon Kaspersky, le malware peut exécuter les actions suivantes sur des appareils infectés :
- changer le fond d’écran
- modifier l’orientation de l’affichage
- forcer l’arrêt du système
- remapper les boutons de la souris
- désarmer les dispositifs d’entrée (clavier/souris/moniteur)
- afficher de fausses notifications
- modifier la position du curseur
- cacher divers éléments (icônes du bureau, barre des tâches, le Gestionnaire des tâches)
- fournir une fenêtre de chat entre l’attaquant et la victime
Bien que ces fonctionnalités ne facilitent pas la monétisation des attaques pour les cybercriminels, elles confèrent au produit une certaine originalité et pourraient attirer de jeunes acteurs du hacking ou ceux à la recherche de solutions peu coûteuses.
Ces fonctionnalités de distraction pourraient également servir à manipuler les victimes pendant que les modules de vol de données fonctionnent en arrière-plan.
Il est conseillé aux utilisateurs d’adopter une approche prudente lorsqu’ils naviguent en ligne et d’éviter de télécharger des logiciels ou des médias à partir de sources non fiables ou non officielles.