Kaspersky beschreibt CrystalRAT in einem aktuellen Bericht als modular aufgebaute Schadsoftware mit einem ungewöhnlichen Funktionsmix. Die vom Builder erzeugten Payloads werden mit zlib komprimiert und mit der symmetrischen Stromchiffre ChaCha20 verschlüsselt. Zur Steuerung verbindet sich die Malware über WebSocket mit ihrem Command-and-Control-Server (C2) und übermittelt Informationen über das infizierte System, um es zu profilieren und Infektionen nachzuverfolgen.

Die Stealer-Komponente fand Kaspersky vorübergehend deaktiviert vor, da sie für eine Aktualisierung vorbereitet werde. Sie zielt über das Werkzeug ChromeElevator auf Chromium-basierte Browser sowie auf Yandex und Opera ab. Darüber hinaus sammelt sie Daten aus Desktop-Anwendungen wie Steam, Discord und Telegram.

Das Fernzugriffsmodul erlaubt es, Befehle über CMD auszuführen, Dateien hoch- und herunterzuladen, das Dateisystem zu durchsuchen und den Rechner in Echtzeit über ein integriertes VNC zu steuern. Hinzu kommt spyware-artiges Verhalten: CrystalRAT kann Video aufzeichnen und Audio über das Mikrofon mitschneiden.

Ein Keylogger überträgt Tastatureingaben in Echtzeit an den C2-Server. Ein sogenannter Clipper durchsucht die Zwischenablage mithilfe regulärer Ausdrücke nach Wallet-Adressen und ersetzt diese durch Adressen, die der Angreifer vorgibt.

Besonders hervor sticht CrystalRAT durch seine zahlreichen Prankware-Funktionen, die laut Kaspersky dazu dienen, Nutzer auf infizierten Geräten zu verärgern oder zu stören. Diese Funktionen steigern zwar nicht das Monetarisierungspotenzial für Cyberkriminelle, machen das Produkt aber unverwechselbar und könnten Script-Kiddies sowie wenig versierte Einsteiger zum Abschluss eines Abonnements verleiten. Ein weiterer möglicher Zweck der Scherzfunktionen sei die Manipulation oder Ablenkung der Opfer, während im Hintergrund die Module für den Datendiebstahl laufen.

Um das Infektionsrisiko zu senken, rät Kaspersky zur Vorsicht beim Umgang mit Online-Inhalten und davon ab, Software oder Medien aus nicht vertrauenswürdigen oder inoffiziellen Quellen herunterzuladen.