MalwareCyberkriminalitätDatenschutz

CrystalRAT: Neue Malware-as-a-Service kombiniert Spionage mit Streich-Funktionen

CrystalRAT: Neue Malware-as-a-Service kombiniert Spionage mit Streich-Funktionen
Zusammenfassung

Die neue Malware CrystalRAT ist eine Malware-as-a-Service, die seit Januar über Telegram und YouTube aktiv beworden wird und eine breite Palette gefährlicher Funktionen vereint. Das Schadprogramm kombiniert klassische RAT-Fähigkeiten (Remote Access Trojan) mit Datendiebstahl, Keylogging und Zwischenablage-Hijacking, bietet aber auch ungewöhnliche Prank-Features, die Nutzer ärgern oder ablenken sollen. Kaspersky-Forscher haben starke Ähnlichkeiten zu der Malware WebRAT identifiziert und warnen vor dem professionellen Aufbau des Systems: Ein benutzerfreundliches Control-Panel, automatisierte Builder-Tools sowie fortgeschrittene Anti-Analyse-Mechanismen machen CrystalRAT zu einer gefährlichen Bedrohung für breite Nutzergruppen. Das Malware-Ökosystem zielt auf populäre Anwendungen wie Chrome, Discord, Steam und Telegram ab und kann Videoinhalte sowie Audiodaten aufzeichnen. Für deutsche Nutzer und Unternehmen stellt diese MaaS-Plattform ein erhebliches Risiko dar, insbesondere da sie über niedrige Einstiegshürden Cyberkriminelle aller Fähigkeitsstufen anzieht. Behörden sollten auf die verstärkte Verbreitung dieser Malware achten, während Unternehmen ihre Sicherheitssysteme überprüfen müssen.

Kaspersky-Sicherheitsforscher haben eine neue Malware-as-a-Service-Kampagne analysiert, die zeigt, wie kriminelle Geschäftsmodelle im Cyber-Untergrund immer professioneller werden. CrystalRAT verbindet klassische Fernzugriffstrojaner-Funktionen mit auffälligen Streich-Features — ein Marketing-Trick, um auch weniger erfahrene Angreifer anzulocken.

Die Plattform funktioniert nach einem klassischen Abonnement-Modell. Betreiber zahlen für verschiedene Lizenzstufen und erhalten Zugang zu einem benutzerfreundlichen Control-Panel sowie einem automatisierten Builder-Tool. Dieses Tool ermöglicht es auch Laien, maßgeschneiderte Malware-Varianten zu erzeugen — mit Optionen wie Geoblock-Funktionen, VM-Erkennung und Anti-Debugging-Mechanismen.

Die technische Basis offenbart interessante Merkmale: CrystalRAT basiert auf Go-Code und ähnelt der älteren WebRAT-Malware stark. Übertragungen erfolgen via WebSocket und werden mit ChaCha20-Verschlüsselung sowie zlib-Kompression geschützt. Ein in JavaScript geschriebenes ChromeElevator-Tool attackiert Browser wie Chrome, Yandex und Opera, um Anmeldedaten zu stehlen.

Das Spektrum der Spionage-Funktionen ist beeindruckend: Der Remote-Access-Modul ermöglicht CMD-Befehlsausführung, Datei-Management und VNC-Kontrolle in Echtzeit. Das Infostealer-Modul (derzeit deaktiviert und in Überarbeitung) zielt auf Steam, Discord, Telegram und andere Desktop-Apps. Video- und Audio-Aufzeichnung vom Mikrofon sind ebenfalls möglich.

Besonders kritisch ist die Clipboard-Hijacking-Funktion: Das Programm erkennt Kryptowallet-Adressen mittels regulärer Ausdrücke und ersetzt sie durch Adresse des Angreifers. Dies ist eine klassische Taktik für Kryptoraub.

Das Besondere sind aber die Prank-Features — vom Desktop-Virus bis zur Soundwiedergabe. Kaspersky vermutet hier zwei Zwecke: Erstens sollen Script-Kiddies und Anfänger-Hacker angelockt werden. Zweitens könnten diese Funktionen als Ablenkung dienen, während echte Datendiebstahl-Module im Hintergrund arbeiten.

Für Nutzer in Deutschland empfiehlt sich erhöhte Vorsicht bei unbekannten Downloads und Installationen. Besonders verdächtig sind Marketing-Claims von MaaS-Plattformen auf Telegram oder YouTube, die professionelle Tools versprechen.

Ähnliche Artikel