网易首页 > 网易号 > 正文 申请入驻

CrystalRAT把3种恶意软件塞进1个订阅包

0
分享至


今年1月,Telegram上出现了一款叫CrystalRAT的恶意软件即服务(MaaS)。它把远程控制、数据窃取、键盘记录、剪贴板劫持打包成订阅制产品,还在YouTube开了营销频道演示功能。

卡巴斯基今天发布的报告指出,这款软件与WebRAT(又称Salat Stealer)高度相似——控制面板设计相同、都用Go语言编写、都采用机器人自动销售系统。但CrystalRAT的开发者显然想走差异化路线,给产品加了一堆"恶作剧"功能。

这些功能不直接赚钱,但足够烦人:锁定鼠标、禁用任务管理器、让系统蓝屏、用文本转语音朗读消息、弹出全屏图片、播放系统蜂鸣声、开关显示器、隐藏桌面图标、显示虚假更新界面、伪造Windows激活弹窗。

卡巴斯基把带恶作剧功能的版本称为CrystalX。它的目标用户很明确:脚本小子(script kiddies)和入门级攻击者——那些技术有限、但愿意花钱买个"好玩"工具的人。

技术架构:把复杂攻击做成"傻瓜相机"

CrystalX的控制面板设计得相当用户友好,配套自动化构建工具支持多种自定义选项。用户可以设置地理封锁,指定哪些国家/地区的设备不被感染;可以定制可执行文件属性;还能启用反分析功能,包括反调试、虚拟机检测、代理检测等。


生成的攻击载荷经过zlib压缩,再用ChaCha20对称流加密算法保护。这种加密方式在恶意软件中越来越常见,因为它比AES更快,且对侧信道攻击有天然抵抗力。

恶意软件通过WebSocket连接命令控制服务器(C2),上传主机信息用于画像和感染追踪。连接建立后,攻击者可以实时查看被控设备的系统配置、地理位置、在线状态。

数据窃取:浏览器、游戏平台、通讯软件一锅端

CrystalX的信息窃取模块目前被临时禁用,卡巴斯基发现开发者正在准备升级。该模块针对Chromium内核浏览器,通过ChromeElevator工具提取数据,同时覆盖Yandex和Opera。桌面应用目标包括Steam、Discord、Telegram——全是游戏玩家和年轻用户的聚集地。

远程访问模块的功能清单相当完整:通过CMD执行命令、上传下载文件、浏览文件系统、内置VNC实时控制。间谍软件级别的功能也没落下——能捕获摄像头视频和麦克风音频。

键盘记录器实时向C2服务器传输按键记录。剪贴板劫持工具(clipper)用正则表达式检测剪贴板中的钱包地址,自动替换成攻击者指定的地址——这是加密货币盗窃的标准手法。


恶作剧背后的产品设计逻辑

卡巴斯基分析师认为,恶作剧功能有两个作用。一是产品差异化:MaaS市场竞争激烈,功能同质化严重,"好玩"能成为卖点。二是战术层面——用明显的系统异常分散受害者注意力,同时数据窃取模块在后台静默运行。

这种设计思路在消费级恶意软件中并不多见。传统MaaS追求隐蔽性,CrystalX反其道而行,把"被发现"变成产品特性的一部分。

订阅制模式降低了网络犯罪的入门门槛。攻击者不需要懂编程,不需要自己搭建基础设施,按月付费就能获得持续更新的攻击工具。CrystalRAT的定价策略和具体订阅层级尚未公开,但Telegram渠道和YouTube营销的组合说明运营者在认真经营这门生意。

卡巴斯基的建议很标准:谨慎对待在线内容,避免从非官方渠道下载软件或媒体。但对于CrystalX的目标人群——游戏玩家、加密货币用户、习惯从各种渠道获取"破解版"软件的年轻人——这条建议往往被当作耳边风。

当恶意软件开始比拼用户体验和产品趣味性,防御端的挑战就变了性质。这不是技术对抗,是对用户注意力的争夺——而攻击者显然在研究怎么让产品更"好玩"。

如果下次你的电脑突然开始用机械音朗读奇怪的消息,同时弹出一个"Windows激活失败"的窗口,你会先检查任务管理器,还是先拍照发朋友圈?

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
锐评郑钦文最新采访:消失的巴格达蒂斯,而那句还可以听听就好

锐评郑钦文最新采访:消失的巴格达蒂斯,而那句还可以听听就好

网球之家
2026-04-21 23:42:07
为什么想念局座,讨厌李莉?

为什么想念局座,讨厌李莉?

雪中风车
2026-03-19 22:03:17
成都万象城即将易主 华润置地拟出售这座运营十余年的城市地标

成都万象城即将易主 华润置地拟出售这座运营十余年的城市地标

封面新闻
2026-04-21 21:55:02
斯诺克世锦赛悬念拉满:16强要被种子选手“包圆”?中国军团能晋级几人?

斯诺克世锦赛悬念拉满:16强要被种子选手“包圆”?中国军团能晋级几人?

体坛最前线66
2026-04-22 08:43:07
研究发现:宇宙并不是无限大的,它的边界就在140亿光年外

研究发现:宇宙并不是无限大的,它的边界就在140亿光年外

观察宇宙
2026-04-21 21:58:45
Shams:文班亚马进入脑震荡保护协议,提前退出对阵开拓者的G2

Shams:文班亚马进入脑震荡保护协议,提前退出对阵开拓者的G2

懂球帝
2026-04-22 09:11:05
医生忠告:肺癌早期不是咳嗽,而是频繁出现这3个症状,小心异常

医生忠告:肺癌早期不是咳嗽,而是频繁出现这3个症状,小心异常

芹姐说生活
2026-04-18 15:22:35
美前高官发布报告,承认中国优势,但只要抓住这三点,美国就能赢

美前高官发布报告,承认中国优势,但只要抓住这三点,美国就能赢

氧气过敏者
2026-04-22 07:25:55
《夜王》里的舞小姐,终于拿下金像奖影后,当了14年的黄金绿叶

《夜王》里的舞小姐,终于拿下金像奖影后,当了14年的黄金绿叶

外滩TheBund
2026-04-21 12:02:52
中超最新积分榜:两队7轮不败,扣分球队首进前5,2队积分转正

中超最新积分榜:两队7轮不败,扣分球队首进前5,2队积分转正

中超伪球迷
2026-04-21 22:07:04
我爸58岁,打牌赢了邻居大妈2000元,俩人当晚去了酒店

我爸58岁,打牌赢了邻居大妈2000元,俩人当晚去了酒店

大熊欢乐坊
2026-04-22 05:11:21
中国战舰坦荡过航这条水道,释放什么信号?

中国战舰坦荡过航这条水道,释放什么信号?

补壹刀
2026-04-21 14:06:24
一夜3大消息!又一主帅下课,亚历山大获奖,湖人更新东里伤情

一夜3大消息!又一主帅下课,亚历山大获奖,湖人更新东里伤情

体坛小李
2026-04-22 09:17:58
5200万镑+球员互换!曼联这次玩真的?红魔为皇马真核豁出去了

5200万镑+球员互换!曼联这次玩真的?红魔为皇马真核豁出去了

奶盖熊本熊
2026-04-22 01:02:35
小阳春可能快要结束了!

小阳春可能快要结束了!

米宅
2026-04-22 07:27:34
乌军一天损失1205人,俄乌冲突,为何没人关注了?

乌军一天损失1205人,俄乌冲突,为何没人关注了?

通鉴史智
2026-04-22 09:38:21
罕见!7.7级地震把半个日本都震醒了,日网民:快请发达中国救我

罕见!7.7级地震把半个日本都震醒了,日网民:快请发达中国救我

音乐时光的娱乐
2026-04-22 00:33:34
太阳报:孔帕尼降价卖掉了英国柴郡豪宅,345万英镑左右成交

太阳报:孔帕尼降价卖掉了英国柴郡豪宅,345万英镑左右成交

懂球帝
2026-04-22 08:56:03
这五个号码千万不要接,一旦接听,银行卡里的钱都可能秒没

这五个号码千万不要接,一旦接听,银行卡里的钱都可能秒没

笑熬浆糊111
2026-04-20 00:05:15
婉拒高薪邀约!孔帕尼强势表态,多项重磅邀请全都拒绝

婉拒高薪邀约!孔帕尼强势表态,多项重磅邀请全都拒绝

夜白侃球
2026-04-21 14:20:02
2026-04-22 10:27:00
薛定谔的BUG
薛定谔的BUG
有态度网友ytd
1612文章数 36关注度
往期回顾 全部

科技要闻

凌晨突发!ChatGPT Images 2.0发布

头条要闻

牛弹琴:伊朗发出让人毛骨悚然的警告 玩的就是心跳

头条要闻

牛弹琴:伊朗发出让人毛骨悚然的警告 玩的就是心跳

体育要闻

一到NBA季后赛,四届DPOY就成了主角

娱乐要闻

宋承炫晒宝宝B超照,宣布老婆怀孕

财经要闻

伊朗拒绝出席 特朗普宣布延长停火期限

汽车要闻

全新坦克700正式上市 售价42.8万-50.8万元

态度原创

教育
家居
房产
手机
军事航空

教育要闻

英国留学生人数暴跌31%,到底发生了什么?

家居要闻

诗意光影 窥见自然之境

房产要闻

年薪40-50万!海南地产圈还在猛招人

手机要闻

摩托罗拉Razr 2026(Razr 70)折叠手机4月29日美国发布

军事要闻

特朗普宣布延长停火 伊朗表态

无障碍浏览 进入关怀版