Remote-Access-Trojaner ‚CrystalX RAT‘ wird auf YouTube und Telegram beworben
- Stealer-, Keylogger-, Clipper- und Spyware-Funktionen in einer Schadsoftware vereint
- „Playful Prankware“-Fähigkeiten zeigen eine neue disruptive und psychologische Dimension
Die Experten von Kaspersky haben eine Malware-Kampagne entdeckt, die einen bislang undokumentierten Remote-Access-Trojaner (RAT) mit umfangreichen Funktionen verbreitet. CrystalX RAT kann seine Opfer sowohl ausspionieren als auch Daten stehlen – und veräppelt Betroffene zudem mit ‚Prankware‘-Fähigkeiten. So verursacht die Schadsoftware unter anderem Wackelbewegungen des Mauszeigers oder Systemabstürze, ändert Hintergrundbilder auf dem Bildschirm oder sendet Pop-up-Nachrichten in Echtzeit [1].
Das Global Research & Analysis Team (GReAT) von Kaspersky hat eine aktive Malware-Kampagne entdeckt, die einen bislang undokumentierten Remote-Access-Trojaner (RAT) mit umfangreichen Funktionen verbreitet. Neben klassischen RAT-Fähigkeiten vereint die Schadsoftware zusätzlich Stealer-, Keylogger-, Clipper- und Spyware-Komponenten und hebt sich durch ‚Prankware‘-Features ab.
Durch die vorhandene Stealer-Funktion kann die Malware eine Vielzahl sensibler Daten stehlen – darunter Systeminformationen, Zugangsdaten für Dienste wie Steam, Discord und Telegram sowie Daten aus Webbrowsern. Des Weiteren kann ein integrierter, browserbasierter Clipper Wallet-Adressen ersetzen und so Transaktionen manipulieren. Darüber hinaus ermöglichen die Spyware-Funktionen von CrystalX RAT eine umfassende Überwachung der Betroffenen. Die Malware kann Screenshots erstellen, Audio über das Mikrofon aufzeichnen sowie Videoaufnahmen von Webcam und Bildschirm anfertigen.
CrystalX RAT wird von Cyberkriminellen als Malware-as-a-Service (MaaS) vermarktet und über Plattformen wie YouTube und Telegram beworben. Dadurch steigt die Wahrscheinlichkeit, dass sie von einem breiteren Spektrum an Angreifern, auch mit geringerer technischer Erfahrung, eingesetzt wird.
Datendiebstahl nicht genug – Hacker veräppeln Opfer
Neben den Funktionen zum Datendiebstal und der Überwachung von Systemaktivitäten bietet die Malware zudem Funktionen einer sogenannten ‚Prankware‘. Damit können Angreifer sichtbar und in Echtzeit in das betroffene System eingreifen, etwa durch das Bewegen des Mauszeigers, das Ändern von Hintergrundbildern oder der Bildschirmausrichtung, das Ausblenden von Desktop-Symbolen, das Erzwingen von Systemabstürzen sowie das Senden von Pop-up-Nachrichten in Echtzeit. Auch wenn diese Funktionen auf den ersten Blick harmlos erscheinen, verleihen sie den Angriffen eine zusätzliche psychologische Dimension und machen sie für Betroffene unmittelbar spürbar und belastend.
„Die Vielzahl an Funktionen ermöglicht eine vollständige Kompromittierung der betroffenen Systeme und führt faktisch zu einem Verlust der Privatsphäre“, erklärt Leonid Bezvershenko, Senior Security Researcher bei Kaspersky GReAT. „Neben dem Diebstahl von Zugangsdaten besteht zudem die Gefahr, dass die erlangten Informationen für Erpressungsversuche genutzt werden. Der ursprüngliche Infektionsweg ist derzeit noch unklar. Unsere Telemetrie zeigt zudem, dass kontinuierlich neue Versionen der Malware auftauchen, was auf eine aktive Weiterentwicklung hindeutet. Wir gehen daher davon aus, dass sowohl die Zahl der Opfer als auch die geografische Verbreitung in naher Zukunft deutlich zunehmen werden.“
Bislang wurden Angriffe vor allem auf Nutzer in Russland registriert. Aufgrund des Vertriebsmodells gehen die Kaspersky-Experten jedoch davon aus, dass sich die Schadsoftware auch international weiter verbreiten wird.
Kaspersky-Tipps zum Schutz vor CrystalX RAT
- Beim Öffnen oder Herunterladen von Dateien aus Messenger-Diensten oder E-Mails Vorsicht walten lassen, da diese Malware enthalten können.
- Spiele und Mods sollten ausschließlich aus offiziellen Quellen oder vertrauenswürdigen Websites installiert werden, da inoffizielle Quellen Schadsoftware enthalten können.
- In den Windows-Einstellungen die Option „Dateinamenerweiterungen anzeigen“ aktivieren. Dadurch lassen sich potenziell schädliche Dateien leichter erkennen. Da Trojaner Programme sind, sollten Dateiendungen wie „.exe“, „.vbs“ und „.scr“ vermieden werden. Cyberkriminelle nutzen häufig verschiedene Erweiterungen, um schädliche Dateien als Video, Foto oder Dokument zu tarnen.
- Bei Benachrichtigungen in E-Mails wachsam sein. Cyberkriminelle versenden häufig gefälschte Nachrichten, die Mitteilungen von Online-Shops oder Banken imitieren, um an persönliche Daten zu gelangen oder Schadsoftware zu verbreiten.
- Eine leistungsstarke Sicherheitslösung wie Kaspersky Premium [2] nutzen, die Malware erkennt und blockiert.
Weitere Informationen zu CrystalX RAT sind verfügbar unter https://securelist.com/crystalx-rat-with-prankware-features/119283/
[1] https://securelist.com/crystalx-rat-with-prankware-features/119283/ / Beispiel-Screenshot https://box.kaspersky.com/f/e11612d8f87440d49284/
Nützliche Links:
- Kaspersky-Analyse zu CrystalX RAT: https://securelist.com/crystalx-rat-with-prankware-features/119283/
- Kaspersky Premium: https://kas.pr/re3t
