Chuột CrystalX
CrystalX là một Trojan truy cập từ xa (RAT) được phân phối theo mô hình Phần mềm độc hại dưới dạng dịch vụ (MaaS) và được quảng bá tích cực thông qua các kênh Telegram. Mục đích chính của nó là đánh cắp thông tin nhạy cảm từ các hệ thống bị xâm nhập đồng thời cho phép điều khiển từ xa hoàn toàn các thiết bị bị nhiễm. Bên cạnh các chức năng độc hại cốt lõi, nó cũng tích hợp các khả năng gây trò đùa. Việc loại bỏ ngay lập tức được khuyến cáo mạnh mẽ khi phát hiện để ngăn chặn sự xâm nhập sâu hơn.
Mục lục
Sự tiến hóa và nguồn gốc: Mã độc hại được đổi tên
CrystalX không phải là một mối đe dọa hoàn toàn mới mà là một phiên bản được đổi tên của phần mềm độc hại đã biết trước đây, ban đầu được tiếp thị với tên gọi Webcrystal RAT. Kiến trúc và giao diện điều khiển của nó dường như được phát triển từ các mối đe dọa cũ hơn như WebRAT hoặc Salat Stealer. Nguồn gốc này cho thấy nền tảng của nó dựa trên các khung phần mềm độc hại đã được chứng minh, được đóng gói lại và tích cực tiếp thị như một công cụ thương mại cho các hoạt động tội phạm mạng.
Khả năng tùy chỉnh và né tránh
Công cụ xây dựng tích hợp cho phép các tác nhân đe dọa tạo ra các biến thể tùy chỉnh của CrystalX. Khả năng tùy chỉnh này cho phép kẻ tấn công sửa đổi hành vi và né tránh các cơ chế phát hiện một cách hiệu quả. Các tùy chọn cấu hình có sẵn bao gồm:
- Hạn chế việc thực thi tại các khu vực địa lý cụ thể.
- Áp dụng các kỹ thuật chống phân tích và chống phát hiện
- Thay đổi các thuộc tính của tệp, chẳng hạn như biểu tượng, để chúng trông có vẻ hợp pháp.
Những tính năng này giúp tăng cường đáng kể khả năng vượt qua các biện pháp phòng vệ an ninh và hoạt động mà không bị phát hiện của phần mềm độc hại.
Thu thập dữ liệu và đánh cắp thông tin đăng nhập
Sau khi được thực thi, CrystalX thiết lập liên lạc với máy chủ điều khiển (C2) và truyền tải thông tin hệ thống ban đầu. Sau đó, nó tiến hành thu thập dữ liệu nhạy cảm từ thiết bị bị xâm nhập. Thông tin mục tiêu bao gồm thông tin đăng nhập từ các nền tảng phổ biến như Steam, Discord và Telegram, cùng với dữ liệu được lưu trữ từ các trình duyệt web dựa trên Chromium. Tất cả dữ liệu thu thập được sẽ được chuyển về cơ sở hạ tầng của kẻ tấn công để khai thác thêm.
Các kỹ thuật giám sát và khai thác tài chính
CrystalX tích hợp nhiều cơ chế giám sát và đánh cắp tài chính. Chức năng ghi lại thao tác bàn phím của nó cho phép thu thập thông tin đăng nhập, chi tiết thẻ thanh toán và các thông tin bí mật khác. Ngoài ra, phần mềm độc hại này còn cài đặt tiện ích mở rộng trình duyệt độc hại vào Chrome hoặc Edge, cho phép theo dõi nội dung clipboard.
Khi phát hiện địa chỉ ví tiền điện tử trong nội dung được sao chép, phần mềm độc hại sẽ thay thế chúng bằng các địa chỉ do kẻ tấn công kiểm soát. Kỹ thuật chiếm đoạt clipboard này chuyển hướng các giao dịch tài chính mà nạn nhân không hề hay biết. Ngoài việc đánh cắp tiền điện tử, thao tác clipboard cũng có thể được sử dụng để chặn các thông tin nhạy cảm khác.
Kiểm soát toàn hệ thống và truy cập từ xa
CrystalX cung cấp khả năng quản trị từ xa toàn diện, cho phép kẻ tấn công kiểm soát hoàn toàn các hệ thống bị nhiễm. Các khả năng này bao gồm:
- Thực thi các lệnh tùy ý và tải lên tệp
- Duyệt và chỉnh sửa các tập tin trên tất cả các ổ đĩa và thư mục.
- Truy cập và điều khiển hệ thống thông qua máy tính từ xa (chức năng tương tự VNC)
- Kích hoạt micro và camera mà người dùng không hề hay biết.
Mức độ truy cập này cho phép giám sát liên tục, thao túng dữ liệu và làm suy yếu hệ thống hơn nữa.
Các đặc điểm thao túng và gây rối tâm lý
Ngoài chức năng gián điệp, CrystalX còn tích hợp các tính năng gây rối và lừa đảo nhằm quấy rối hoặc thao túng nạn nhân. Chúng bao gồm thay đổi cài đặt màn hình, xoay màn hình, hoán đổi điều khiển chuột và tạo ra chuyển động con trỏ bất thường. Phần mềm độc hại này cũng có thể vô hiệu hóa các tiện ích hệ thống, ẩn các thành phần trên màn hình và hiển thị các thông báo bật lên gây hiểu nhầm. Tính năng trò chuyện tích hợp cho phép giao tiếp trực tiếp giữa kẻ tấn công và nạn nhân, có khả năng làm tăng áp lực tâm lý hoặc tạo điều kiện cho kỹ thuật xã hội.
Phương thức phân phối và tác nhân lây nhiễm
CrystalX thường được phát tán thông qua nhiều cơ chế lừa đảo và độc hại khác nhau. Sự lây nhiễm thường xảy ra khi người dùng tương tác với các tệp tin bị xâm phạm hoặc độc hại như các tệp thực thi, tệp lưu trữ, tập lệnh hoặc các định dạng tài liệu như tệp Office và PDF.
Các kênh phân phối phổ biến bao gồm tệp đính kèm email, liên kết lừa đảo, khai thác lỗ hổng phần mềm, các chương trình hỗ trợ kỹ thuật giả mạo, các trang web bị xâm nhập hoặc độc hại, phần mềm lậu, công cụ bẻ khóa, quảng cáo độc hại, thiết bị USB bị nhiễm virus, mạng ngang hàng (peer-to-peer) và các nền tảng tải xuống của bên thứ ba.
Đánh giá rủi ro: Một mối đe dọa có tác động lớn
CrystalX là một phần mềm RAT (Remote Access Trojan) cực kỳ đa năng và nguy hiểm, với khả năng bao gồm đánh cắp dữ liệu, giám sát, gian lận tài chính và xâm nhập toàn bộ hệ thống. Sự kết hợp giữa khả năng ẩn mình, tùy chỉnh và chức năng đa dạng khiến nó trở thành một rủi ro an ninh mạng đáng kể. Việc lây nhiễm thành công có thể dẫn đến đánh cắp danh tính, thiệt hại tài chính, chiếm đoạt tài khoản và vi phạm quyền riêng tư lâu dài, nhấn mạnh tầm quan trọng của việc phát hiện chủ động và phản ứng nhanh chóng trước sự cố.
