夜雨聆风
最近,一款名为CrystalX的新型远程控制木马正在Telegram上以“恶意软件即服务”模式公开销售。今年1月现身,采用分级订阅运营,黑客掏钱就能用。运营者还在YouTube开设账号,发布功能演示视频吸引攻击者。
卡巴斯基报告指出,这款木马与WebRAT高度相似,控制面板设计一样,都用Go语言编写,销售系统也如出一辙,很像是老牌木马的升级版。
CrystalX最大的特点,是把强大的数据窃取能力和大量恶作剧功能结合在一起。它配备了易用的管理后台,支持地域限制、可执行文件定制,还能开启反调试、虚拟机检测等反分析防护。生成的恶意文件经过zlib压缩和ChaCha20加密,隐蔽性很强。
木马通过WebSocket连接控制服务器,先上传受害电脑的主机信息。窃密模块目前暂时关闭,但官方称正在升级。该模块主要针对Chromium内核浏览器、Yandex浏览器和Opera浏览器,还能窃取Steam、Discord、Telegram等桌面应用数据。
远程控制方面,它支持CMD执行命令、上传下载文件、浏览文件系统,内置VNC可实时操控电脑。还能调用麦克风录音、抓取屏幕画面,键盘记录器实时回传每一次按键。最危险的是剪贴板篡改工具,能识别加密货币钱包地址并替换成攻击者的地址,稍不注意钱就会转给黑客。
CrystalX的独特之处在于丰富的恶作剧功能:修改壁纸、旋转屏幕、强制关机、重映射鼠标按键、禁用键盘鼠标和显示器、弹出伪造系统通知、自动移动鼠标光标、隐藏桌面图标和任务栏、禁用任务管理器,甚至开启攻击者与受害者的聊天窗口。
研究人员认为,这些恶作剧既能吸引初级攻击者订阅,更阴险的是在后台窃取数据的同时干扰迷惑受害者。当你看到屏幕倒转、鼠标乱跑,很可能以为是电脑故障,而不会意识到木马正在疯狂搬运你的数据。
对普通用户来说,防范这种木马最有效的方法,就是不要从不可信或非官方来源下载软件和媒体文件。因为你永远不知道,下一次双击打开的,到底是一个普通程序,还是一个能整蛊你电脑、同时偷走你所有账号和钱包的木马。
