Pantalla al revés, teclado bloqueado y notificaciones falsas: hackers crean un virus que se burla de ti mientras te roban los datos
Todo lo que hagas debe ser aprobado primero por un «supervisor» invisible.
Un nuevo servicio malicioso, CrystalRAT, está ganando rápidamente popularidad en el entorno clandestino, combinando las herramientas habituales de ciberataques con funciones inesperadas de "entretenimiento". Los desarrolladores promocionan activamente el producto a través de Telegram e incluso muestran sus capacidades en YouTube, apostando por la facilidad de uso y un amplio conjunto de herramientas.
CrystalRAT apareció en enero y funciona por suscripción con distintos niveles de acceso. Los especialistas de Kaspersky Lab detectaron similitudes con el previamente conocido WebRAT, también llamado Salat Stealer. Coinciden la estructura del panel de control, la arquitectura en Go e incluso el modelo de ventas mediante bots.
El servicio ofrece un panel cómodo y un constructor de compilaciones maliciosas con ajustes flexibles. Los operadores pueden limitar la geografía de infección, cambiar parámetros de los ejecutables y activar mecanismos de protección contra el análisis, incluyendo la detección de máquinas virtuales y herramientas de depuración. Los archivos creados se cifran y se comprimen, luego se conectan con el servidor de control vía WebSocket y transmiten datos del sistema infectado.
La funcionalidad de CrystalRAT abarca varias áreas a la vez. El módulo de acceso remoto permite ejecutar comandos, transferir archivos y controlar el dispositivo en tiempo real a través de VNC integrado. El programa malicioso también puede grabar audio y video, convirtiéndose en una herramienta completa de vigilancia. El keylogger envía las pulsaciones de teclas, y el mecanismo de sustitución del portapapeles detecta carteras de criptomonedas y reemplaza direcciones por las controladas por los atacantes.
El componente para el robo de datos, al momento del análisis, estaba temporalmente desactivado, pero ya se sabe que apunta a navegadores basados en Chromium, así como a Yandex y Opera. Además, se prevé la recopilación de información de aplicaciones populares como Steam, Discord y Telegram.
Los desarrolladores prestaron atención especial a funciones inusuales. CrystalRAT puede cambiar el fondo de pantalla, voltear la imagen, desactivar el teclado o el ratón, ocultar elementos de la interfaz y mostrar notificaciones falsas. En algunos casos incluso se contempla un chat entre el atacante y la víctima.
)
Estas capacidades no aumentan el beneficio directo, pero hacen que la herramienta sea visible y pueden atraer a delincuentes principiantes. Además, esos efectos "bromistas" pueden distraer al usuario mientras en segundo plano se recopilan datos.
Los especialistas señalan que servicios de este tipo se están volviendo más accesibles, por lo que el riesgo de infección aumenta. La medida básica de protección sigue siendo la misma: evitar descargar programas de fuentes no verificadas y prestar atención al contenido en la red.