{"id":33372,"date":"2026-04-13T12:42:10","date_gmt":"2026-04-13T10:42:10","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33372"},"modified":"2026-04-13T12:48:37","modified_gmt":"2026-04-13T10:48:37","slug":"prankware-crystalx-rat-maas","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/prankware-crystalx-rat-maas\/33372\/","title":{"rendered":"CrystalX RAT kann deinen Bildschirm manipulieren und Kryptow\u00e4hrung stehlen"},"content":{"rendered":"<p>Der neue sch\u00e4dliche Remote-Access-Trojaner CrystalX, der von Kaspersky-Experten entdeckt wurde, kann mehr als nur einen Fernzugriff auf das Ger\u00e4t eines Opfers erlangen, Kryptow\u00e4hrung und Anmeldedaten aus Browsern und Apps stehlen oder eine richtige \u00dcberwachung betreiben. Er kann auch den Bildschirm eines Opfers manipulieren, in dem er diesen verdreht oder Unsinn direkt darauf schreibt, die Maustasten vertauschen, und sogar Tastatureingaben blockieren. Dar\u00fcber hinaus wird der RAT auf Telegram und in Anleitungsvideos auf YouTube als Malware-as-a-Service (MaaS) beworben \u2013 was bedeutet, dass CrystalX auf Abonnementbasis funktioniert.<\/p>\n<p>In diesem Beitrag erl\u00e4utern wir, wie diese neue Malware aufgebaut ist, was ihre Erkennung erschwert und was du tun kannst, um davon nicht betroffen zu werden.<\/p>\n<h2>Ein Schweizer Taschenmesser f\u00fcr Angreifer<\/h2>\n<p>Im M\u00e4rz 2026 entdeckten unsere Experten eine bisher unbekannte Malware, die in privaten Telegram-Kan\u00e4len zirkulierte. In Anlehnung an klassische Marketingtaktiken wurde der Trojaner \u00fcber drei verschiedene Abonnementstufen zum Kauf angeboten. Seine F\u00e4higkeiten decken ein breites Spektrum ab. CrystalX kann auf dem Computer eines Opfers:<\/p>\n<ul>\n<li>das Hintergrundbild des Desktops zu einem Bild von einem spezifischen Link \u00e4ndern<\/li>\n<li>den Bildschirm um 90, 180 oder 270 Grad drehen<\/li>\n<li>den Computer einfach herunterfahren<\/li>\n<li>die Belegung der Maustasten vertauschen<\/li>\n<li>mit dem Opfer chatten<\/li>\n<li>sowohl Tastatureingaben als auch die Bildschirmanzeige blockieren<\/li>\n<li>irgendeinen vom Angreifer gew\u00e4hlten Benachrichtigungstext anzeigen<\/li>\n<li>bestimmte Komponenten deaktivieren, wie z. B. den Task-Manager, die Eingabeaufforderung und die Windows-Taskleiste<\/li>\n<\/ul>\n<p>Und doch sind das noch die harmloseren Auswirkungen der Malware \u2013 die Prank-Funktion, die an die Scherzprogramme vergangener Jahrzehnte erinnert. Der eigentliche Schaden durch CrystalX entsteht durch das Stehlen von Anmeldedaten f\u00fcr Steam, Discord, Telegram und alle Chromium-basierten Browser. Der RAT kann zudem den Inhalt der Zwischenablage \u00fcberwachen und \u00e4ndern; typischerweise warten Angreifer darauf, dass eine Krypto-Wallet-Adresse kopiert wird, und tauschen diese dann gegen ihre eigene aus. Dies ist eine <a href=\"https:\/\/www.kaspersky.com\/blog\/efimer-trojan-steals-crypto\/54066\/\" target=\"_blank\" rel=\"noopener nofollow\">beliebte Methode zum Diebstahl von Kryptow\u00e4hrungen<\/a>: W\u00e4hrend das Opfer eine legitime \u00dcberweisung vornehmen will, kopiert es die Wallet-Adresse des Empf\u00e4ngers, f\u00fcgt aber stattdessen die Adresse der Cyberkriminellen ein.<\/p>\n<p>Aber es gibt noch mehr: eine Keylogger-Funktion und die vollst\u00e4ndige Ger\u00e4testeuerung mit Fernzugriff auf Bildschirm, Kamera und Mikrofon \u2013 einschlie\u00dflich Video- und Tonaufzeichnungsfunktionen.<\/p>\n<p>Die Malware wurde erstmals im Januar 2026 in einem privaten Telegram-Chat f\u00fcr RAT-Entwickler erw\u00e4hnt. Damals hie\u00df dieser Windows-Trojaner WebCrystal RAT und erwies sich aufgrund technischer Details als Klon eines <a href=\"https:\/\/securelist.com\/webrat-distributed-via-github\/118555\/\" target=\"_blank\" rel=\"noopener\">anderen RAT namens WebRat<\/a>. Kurze Zeit sp\u00e4ter benannte der Autor von WebCrystal ihn in CrystalX RAT um und begann, den Trojaner auf einem neu eingerichteten Telegram-Kanal anzupreisen.<\/p>\n<p>Der urspr\u00fcngliche Infektionsvektor f\u00fcr diesen Stealer ist derzeit unbekannt, doch laut Telemetriedaten befinden sich die Opfer zum Zeitpunkt der Erstellung dieses Artikels \u00fcberwiegend in Russland. Aber da wir st\u00e4ndig neue Versionen der Malware entdecken, k\u00f6nnte sich diese Bedrohung rasch weiterentwickeln und ausbreiten.<\/p>\n<h2>Jeder kann zum Hacker werden<\/h2>\n<p>Fr\u00fcher war die Entwicklung komplexer Cyberangriffe mit einem hohen Lernaufwand verbunden. Man musste sich mit Kryptografie und Netzwerkprotokollen auskennen und wissen, wie man Code schreibt, der Antivirenl\u00f6sungen umgehen kann. Die H\u00fcrde war hoch \u2013 doch das Modell Malware-as-a-Service hat die Spielregeln ver\u00e4ndert.<\/p>\n<p>Heutzutage ben\u00f6tigt ein Angreifer lediglich grundlegende Computerkenntnisse, um eine vorgefertigte Plattform mit einer benutzerfreundlichen Oberfl\u00e4che zu mieten. Die Bedrohung breitet sich gerade deshalb so stark aus, weil Malware-Entwickler die Angriffe nicht mehr selbst durchf\u00fchren \u2013 das ist, als ob Schaufeln w\u00e4hrend eines Goldrauschs verkauft w\u00fcrden. Die Cyberkriminellen konzentrieren sich darauf, ihre Kunden zu unterst\u00fctzen, die Benutzeroberfl\u00e4che zu verbessern und Geld in aggressives Marketing zu stecken.<\/p>\n<div id=\"attachment_33374\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2026\/04\/13123943\/prankware-crystalx-rat-maas-01.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-33374\" class=\"wp-image-33374 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2026\/04\/13123943\/prankware-crystalx-rat-maas-01.jpg\" alt=\"CrystalX-Malware-Kontrollpanel\" width=\"1024\" height=\"788\"><\/a><p id=\"caption-attachment-33374\" class=\"wp-caption-text\">CrystalX-Malware-Kontrollpanel<\/p><\/div>\n<p>Einige Hacker richten sogar YouTube-Kan\u00e4le ein, auf denen sie unter dem Vorwand \u201ezu Bildungs- und Unterhaltungszwecken\u201c erkl\u00e4ren, wie man den Trojaner \u00fcber das Kontrollpanel verwaltet. Anleitungsvideos, die einst im Dark Web verborgen waren, sind mittlerweile Mainstream geworden und machen Hacking-Techniken einem breiten, allgemeinen Publikum zug\u00e4nglich.<\/p>\n<h2>Wie CrystalX Sicherheitsma\u00dfnahmen umgeht<\/h2>\n<p>Egal wie technisch ausgereift der Code einer Hacking-App auch sein mag, ohne einen st\u00e4ndigen Zustrom neuer Kunden ist ein Projekt zum Scheitern verurteilt. Daher sind Marketingbem\u00fchungen f\u00fcr das \u00dcberleben einer App unerl\u00e4sslich \u2013 auch wenn diese das Risiko f\u00fcr einen Entwickler, hinter Gittern zu landen, erheblich erh\u00f6hen. Die Entwickler von CrystalX haben jedoch einen Weg gefunden, ihren RAT zu sch\u00fctzen.<\/p>\n<p>\u00dcber das Control Panel k\u00f6nnen Kunden ihre eigenen, einzigartigen Versionen des Trojaners mit umfangreichen Konfigurationsoptionen erstellen. So k\u00f6nnen sie beispielsweise eine Standortfilterung aktivieren, um nur Nutzer in bestimmten L\u00e4ndern anzusprechen, ein Symbol f\u00fcr die ausf\u00fchrbare Datei ausw\u00e4hlen und Anti-Analyse-Funktionen ein- oder ausschalten. Der fertige Trojaner wird mit zlib komprimiert und anschlie\u00dfend mit einem ChaCha20-Stream-Cipher unter Verwendung eines 256-Bit-Schl\u00fcssels und eines<a href=\"https:\/\/de.wikipedia.org\/wiki\/Nonce\" target=\"_blank\" rel=\"noopener nofollow\"> 96-Bit-Nonce<\/a> verschl\u00fcsselt. Dies stellt sicher, dass jeder Kunde eine einzigartige Version der Malware erh\u00e4lt.<\/p>\n<p>CrystalX ist zudem in der Lage, virtuelle Maschinen zu erkennen und zu pr\u00fcfen, ob er in einer Test- oder Debugging-Umgebung ausgef\u00fchrt wird; das erschwert die Erkennung. Mehr \u00fcber die Struktur und Funktionalit\u00e4t dieses neuen Trojaners erf\u00e4hrst du <a href=\"https:\/\/securelist.com\/crystalx-rat-with-prankware-features\/119283\/\" target=\"_blank\" rel=\"noopener\">in unserem Securelist-Artikel<\/a>.<\/p>\n<p>Die gute Nachricht f\u00fcr Kaspersky-Nutzer ist, dass <a href=\"https:\/\/www.kaspersky.de\/home-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">unsere Sicherheitsl\u00f6sungen<\/a><strong>\u00a0<\/strong>CrystalX sowohl erkennen als auch neutralisieren.<\/p>\n<h2>So vermeidest du, zum Opfer von CrystalX zu werden<\/h2>\n<p>Im folgenden findest du einfache Tipps, die dir helfen, eine Infektion durch CrystalX und andere \u00e4hnliche Malware zu vermeiden:<\/p>\n<ul>\n<li>Achteauf komische Vorkommnisse in deinem Computers: unvorhergesehene Bildschirmdrehungen, fehlerhaftes Verhalten oder Einfrieren von Tastatur oder Maus sowie willk\u00fcrliche Benachrichtigungen oder Chat-Fenster k\u00f6nnen Anzeichen f\u00fcr eine CrystalX-Infektion sein. Sollte so etwas passieren, unterbrich sofort die Internetverbindung, indem du das Ethernet-Kabel physisch abziehst oder das WLAN ausschaltest. Installiere anschlie\u00dfend mithilfe eines USB-Sticks<b> <a href=\"https:\/\/www.kaspersky.de\/home-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">unsere Sicherheitssuite<\/a><\/b>, um den Virus zu beseitigen.<\/li>\n<li>Achte darauf, Software nur von offiziellen Websites und vertrauensw\u00fcrdigen Marktpl\u00e4tzen herunterzuladen. Meide Raubkopien, Lizenzschl\u00fcsselgeneratoren und kostenlose Versionen kostenpflichtiger Anwendungen: Diese Versionen sind die h\u00e4ufigsten Verstecke f\u00fcr Trojaner.<\/li>\n<li>Falle nicht auf \u201eTutorial\u201c-Videos herein, die fragw\u00fcrdige Tools f\u00fcr \u201eAdministration\u201c, \u201eOptimierung\u201c oder \u201eSicherheitstests\u201c anpreisen. Wenn der Blogger sagt, du solltest dein Antivirenprogramm deaktivieren, um die Installation abzuschlie\u00dfen, ist das ein deutliches Warnsignal und ein Grund, das Video nicht weiter anzuschauen.<\/li>\n<li>Sei vorsichtig mit Dateien, die du \u00fcber Messaging-Apps erh\u00e4ltst. Passwortgesch\u00fctzte Archive, die \u201ewichtige Dokumente\u201c oder \u201ecoole private Builds\u201c enthalten, sind typische Tr\u00e4ger f\u00fcr Schadsoftware.<\/li>\n<li>Sichere deine Konten. Aktiviere <a href=\"https:\/\/www.kaspersky.de\/blog\/what-is-two-factor-authentication\/30208\/\" target=\"_blank\" rel=\"noopener\">die Zwei-Faktor-Authentifizierung<\/a> und <a href=\"https:\/\/www.kaspersky.de\/blog\/full-guide-to-passkeys-in-2025-part-1\/53688\/\" target=\"_blank\" rel=\"noopener\">Passkeys<\/a> f\u00fcr die wichtigsten Dienste: E-Mail, Messaging-Apps, Gaming-Plattformen und Krypto-B\u00f6rsen. <a href=\"https:\/\/www.kaspersky.de\/password-manager?icid=de_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a>ist hierf\u00fcr ein hervorragendes Tool.<\/li>\n<li>Aktualisiere dein Betriebssystem und deine Apps regelm\u00e4\u00dfig. Aktuelle Patches schlie\u00dfen Sicherheitsl\u00fccken, durch die Malware unbemerkt und ohne dein Zutun auf dein System gelangen kann.<\/li>\n<li>Verwende eine zuverl\u00e4ssige Sicherheitssuite wie <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>. Sie erkennt und blockiert Installations- oder Download-Versuche von Trojanern.<\/li>\n<\/ul>\n<blockquote><p>Erfahre mehr \u00fcber Fernzugriffstrojaner, Miner, Krypto-Stealer und andere digitale Bedrohungen:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/preventing-ransomware-attacks-on-backups-of-home-users\/33354\/\" target=\"_blank\" rel=\"noopener\"><strong>Ransomware auf der Jagd nach privaten Backups<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/syncro-remote-admin-tool-on-ai-generated-fake-websites\/32954\/\" target=\"_blank\" rel=\"noopener\"><strong>Angreifer nutzen Syncro und KI-generierte Websites<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/hijacked-discord-invite-links-for-multi-stage-malware-delivery\/32538\/\" target=\"_blank\" rel=\"noopener\"><strong>Wie Angreifer das Discord-Einladungssystem ausnutzen<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/new-exotic-rat-sambaspy\/31640\/\" target=\"_blank\" rel=\"noopener\"><strong>SambaSpy: ein neuer Remote-Access-Trojaner<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Der neue Remote-Access-Trojaner (RAT) CrystalX sieht oberfl\u00e4chlich betrachtet aus wie die Scherzprogramme der 90er Jahre, richtet jedoch weitaus gr\u00f6\u00dferen Schaden an. Er spioniert alles aus, was auf deinem Computer geschieht, stiehlt Kryptow\u00e4hrung und Zugangsdaten und verschafft dem Angreifer die volle Kontrolle \u00fcber das Ger\u00e4t. Wir erkl\u00e4ren, wie er funktioniert und wie du vermeiden kannst, zu einem seiner Opfer zu werden.<\/p>\n","protected":false},"author":312,"featured_media":33373,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[1076,2745,1871,3353,635,257,341],"class_list":{"0":"post-33372","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-great","9":"tag-kryptowahrungen","10":"tag-rat","11":"tag-stealer","12":"tag-tracking","13":"tag-trojaner","14":"tag-uberwachung"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/prankware-crystalx-rat-maas\/33372\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/prankware-crystalx-rat-maas\/30356\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/prankware-crystalx-rat-maas\/25406\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/prankware-crystalx-rat-maas\/30203\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/prankware-crystalx-rat-maas\/41616\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/prankware-crystalx-rat-maas\/55537\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/prankware-crystalx-rat-maas\/30473\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/prankware-crystalx-rat-maas\/36092\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/prankware-crystalx-rat-maas\/35744\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/rat\/","name":"RAT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33372","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/312"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33372"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33372\/revisions"}],"predecessor-version":[{"id":33376,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33372\/revisions\/33376"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33373"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33372"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33372"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33372"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}