Специалисты из Глобального исследовательского и аналитического подразделения «Лаборатории Касперского» (Kaspersky GReAT) выявили новый троянец удаленного администрирования под названием CrystalX. Этот вредоносный инструмент дает злоумышленникам возможность не только похищать информацию и следить за действиями пользователя, но и открыто управлять компьютером в реальном времени: вызывать дрожание указателя мыши, изменять параметры дисплея, а также выводить сообщения на экран жертвы. В результате атака приобретает наглядный характер — владелец устройства воочию наблюдает, как теряет над ним контроль. Об этом CNews проинформировали в «Лаборатории Касперского».
Возможности угрозы. Помимо типичных функций троянца удаленного доступа (RAT), CrystalX сочетает в себе потенциал стилера (приложения для сбора данных), кейлоггера (средства фиксации нажатий клавиш), клиппера (программы, подменяющей в буфере обмена адреса криптокошельков) и шпионского программного обеспечения.
Вредонос способен собирать сведения о системе, учетные данные для Steam, Discord и Telegram, информацию из веб-обозревателей, а также осуществлять всестороннее наблюдение: захватывать скриншоты, записывать аудио с микрофона и видео — как с веб-камеры, так и с экрана компьютера. Наличие в его арсенале клиппера делает эту угрозу особенно опасной для владельцев цифровых активов.
Изощренные провокации. Особого внимания заслуживают так называемые prankware-функции, созданные для издевательств над пользователем. С их помощью злоумышленники могут в реальном времени вмешиваться в работу компьютера: заставлять курсор трястись, менять фоновое изображение и ориентацию экрана, скрывать значки, завершать работу системы и отправлять всплывающие уведомления. Таким образом атакующие усиливают психологическое воздействие на жертву: пользователь не только лишается данных, но и становится свидетелем процесса взлома и утраты управления своим устройством.
CrystalX распространяется по схеме «вредоносное программное обеспечение как услуга» (Malware-as-a-service): его рекламу можно встретить на YouTube и в Telegram. Это упрощает начало атак и увеличивает риск широкого применения троянца, в том числе злоумышленниками с невысоким уровнем подготовки.
«Данный вредонос представляет собой многофункциональный инструмент для хищения информации и слежки, который также позволяет атакующим оказывать дополнительное психологическое давление. Наша телеметрия фиксирует появление новых версий имплантов, что говорит об активной разработке и поддержке этого вредоносного ПО. Мы прогнозируем, что в скором времени количество пострадавших существенно увеличится, а география атак расширится», — отметил Леонид Безвершенко, старший эксперт Kaspersky GReAT.
Чтобы обезопасить себя от подобных угроз, специалисты «Лаборатории Касперского» советуют придерживаться нескольких правил: загружать программы исключительно из проверенных официальных источников, что минимизирует вероятность проникновения вредоносного кода на ваше устройство; использовать на всех гаджетах надежное антивирусное ПО, чья эффективность доказана авторитетными независимыми исследованиями; активировать в параметрах Windows функцию «Отображение расширений имен файлов». Это поможет легче выявлять потенциально опасные объекты. Избегайте открытия файлов с расширениями exe, vbs и scr; проявляйте бдительность при получении сообщений со ссылками или вложениями, так как они могут скрывать зловредное программное обеспечение.
