Die in Go geschriebene CrystalX RAT verbindet sich direkt nach dem Start über WebSocket mit ihrem C&C-Server und übermittelt zunächst gesammelte Systemdaten. Anschließend führt sie ein Modul zum Datendiebstahl aus, das Zugangsdaten von Discord, Steam und Telegram sowie Daten aus Browsern auf Chrome-Basis abgreift.
Laut Kaspersky enthält die Schadsoftware zudem einen Keylogger, der sämtliche Tastatureingaben sofort per WebSocket an den C&C-Server sendet. Die Betreiber können außerdem die Zwischenablage des Opfers auslesen und verändern und einen schädlichen Clipper in Chrome und Edge einschleusen.
Für den Fernzugriff unterstützt CrystalX RAT mehrere Befehle: Operatoren können Dateien hochladen, das Dateisystem durchsuchen oder Befehle ausführen. Über eine integrierte VCN-Funktion lässt sich der Bildschirm des Opfers fernsteuern; zudem können über Mikrofon und Kamera des Systems Audio- und Videoströme aufgezeichnet werden. Da Angreifer und Opfer dieselbe Sitzung nutzen, stellt das Panel laut Kaspersky Schaltflächen bereit, um die Benutzereingaben des Opfers zu blockieren, damit der Angreifer ungestört agieren kann.
Darüber hinaus bietet das Kontrollpanel eine Reihe gesonderter Befehle, mit denen Betreiber ihre Opfer drangsalieren können. Dazu zählen das Ändern des Desktop-Hintergrunds, das Drehen der Bildschirmausrichtung, das Herunterfahren des Geräts, das Umbelegen von Maustasten, das Trennen von Peripheriegeräten, das Anzeigen eigener Benachrichtigungen, das chaotische Verschieben des Mauszeigers sowie das Deaktivieren verschiedener Oberflächenkomponenten. Nach Angaben von Kaspersky kann der Angreifer dem Opfer auch eine Nachricht senden, woraufhin sich ein Dialogfenster für einen wechselseitigen Chat öffnet.
Kaspersky zufolge hat CrystalX RAT bereits Dutzende Personen infiziert und wurde bisher nur in Russland verwendet. Da die MaaS jedoch keine regionalen Einschränkungen kennt, könnte sie bald global eingesetzt werden. Die Telemetrie des Unternehmens habe neue Implantat-Versionen erfasst, was auf eine aktive Weiterentwicklung und Pflege der Malware hindeute. In Verbindung mit der wachsenden Werbekampagne für CrystalX RAT sei daher mit einem deutlichen Anstieg der Opferzahlen in naher Zukunft zu rechnen.
