MalwareHackerangriffeDatenschutz

CrystalX RAT: Neue Malware-as-a-Service kombiniert Spionage und Fernzugriff

CrystalX RAT: Neue Malware-as-a-Service kombiniert Spionage und Fernzugriff
Zusammenfassung

Eine neue und hochentwickelte Remote-Access-Malware namens CrystalX RAT ist seit Januar im Umlauf und wird von ihrem Entwickler aktiv über Telegram und YouTube beworden. Das als Malware-as-a-Service (MaaS) angebotene Schadprogramm kombiniert Spionagefunktionen, Datendiebstahl und Fernzugriffsfähigkeiten in einer einzigen Bedrohung. Die in der Programmiersprache Go geschriebene Malware kann nach ihrer Installation umfassende Systemdaten sammeln, Zugangsdaten von Discord, Steam, Telegram und Chrome-basierten Browsern stehlen sowie Tastenanschläge protokollieren. Besonders besorgniserregend sind die Fernkontrollfunktionen: Angreifer können Dateien hochladen, das System fernsteuern, den Bildschirm überwachen und Kamera sowie Mikrofon missbrauchen. Zwar wurden bislang hauptsächlich russische Nutzer infiziert, doch die Malware-as-a-Service-Plattform hat keine geografischen Beschränkungen und könnte global eingesetzt werden. Da CrystalX RAT aktiv weiterentwickelt wird und aggressiv vermarktet wird, warnen Sicherheitsexperten vor einer signifikanten Ausweitung der Infektionen. Deutsche Nutzer und Unternehmen sollten diese Bedrohung ernst nehmen und ihre Schutzmaßnahmen verschärfen, da diese Art von modularer Malware ein hohes Risiko für Datendiebstahl und unbefugten Fernzugriff darstellt.

Die neue Malware CrystalX RAT wird von Cyberkriminellen als Malware-as-a-Service angeboten und kombiniert mehrere Angriffsvektoren in einem System. Ursprünglich als Webcrystal RAT eingeführt, erhielt die Schadsoftware später ihren neuen Namen und wird seitdem aggressiv in Underground-Communities beworben.

Die Architektur dieser RAT ist bemerkenswert vielseitig. Nach der Ausführung stellt die Malware eine WebSocket-Verbindung zu ihrem Command-and-Control-Server her und beginnt sofort mit der Erfassung von Systeminformationen. Der nächste Schritt ist das Aktivieren eines Informations-Stealer-Moduls, das gezielt auf sensitive Daten abzielt: Es plündert Anmeldedaten von Discord, Steam und Telegram sowie Daten aus Chrome-basierten Browsern.

Besonders problematisch ist die integrierte Keylogger-Funktionalität. Sie erfasst alle Tastatureingaben des Opfers und übermittelt sie in Echtzeit an die Angreifer. Zusätzlich können die Kriminellen die Zwischenablage des Opfers auslesen und manipulieren – sogar ein maliciöser Clipper für Chrome und Edge ist integriert.

Die Remote-Access-Funktionen ermöglichen vollständige Kontrolle über das infizierte System. Angreifer können Dateien hochladen, das Dateisystem durchsuchen, beliebige Befehle ausführen und über die integrierte VCN-Funktion den Bildschirm des Opfers fernsteuern. Besonders invasiv: Die Malware kann Mikrofon und Kamera des Systems nutzen, um Audio- und Videostreams aufzuzeichnen.

Das Control Panel bietet zudem sogenannte “Prank-Funktionen” – Befehle zum Veranlassen von Störungen wie Bildschirm-Manipulation, Mauszeiger-Chaos oder das Deaktivieren von GUI-Komponenten. Auch bidirektionale Chat-Sessions sind möglich, mit denen Angreifer ihre Opfer direkt kontaktieren können.

Kaspersky warnt vor der rasanten Weiterentwicklung dieser Malware. Die Telemetrie dokumentiert bereits neue Implant-Versionen, was auf aktive Weiterentwicklung hindeutet. Kombiniert mit der intensiven PR-Kampagne der Entwickler deutet dies auf eine baldige Expansion hin.

Während die bisherigen Infektionsfälle hauptsächlich in Russland dokumentiert wurden, bestehen keine technischen Barrieren für globale Angriffe. Deutsche Nutzer und Organisationen sollten erhöhte Wachsamkeit walten lassen und ihre Systeme mit aktuellen Sicherheitslösungen schützen.

Ähnliche Artikel