Şirketten yapılan açıklamaya göre, standart uzaktan erişim truva atı işlevlerinin ötesine geçen bu yazılım, veri hırsızı, tuş kaydedici, 'clipper' ve casus yazılım özelliklerini tek bir yapıda birleştiriyor.
Zararlı yazılım kampanyası CrystalX RAT, siber suçlular tarafından 'MaaS' modeliyle üçüncü taraflara sunuluyor.
'Stealer' özellikleri sayesinde zararlı yazılım, 'kurban' hakkında geniş kapsamlı veri toplayabiliyor, sistem bilgilerini derliyor, bazı uygulamalardaki hesaplarına ait kimlik bilgilerini ele geçiriyor ve internet tarayıcılarından veri çekebiliyor. Ayrıca kripto para kullanıcıları için de ciddi bir tehdit oluşturuyor. Tarayıcı tabanlı 'clipper' özelliği ile kripto cüzdan adreslerini değiştirerek işlemleri manipüle edebiliyor.
Veri hırsızlığının ötesinde, CrystalX RAT, tam kapsamlı bir gözetim aracı olarak da konumlanıyor. Ayrıca CrystalX RAT ekran görüntüsü alma, mikrofon üzerinden ses kaydetme ve hem kameradanhem de ekran üzerinden video yakalama gibi yeteneklere sahip.
Zararlı yazılımın dikkati çeken unsurlarından biri ise geliştiriciler tarafından özellikle öne çıkarılan 'şaka yazılımı' özellikleri. Bu işlevler sayesinde saldırganlar, kurbanın sistemine doğrudan müdahale edebiliyor, fare imlecini hareket ettirmek, masaüstü arka planını değiştirmek, ekran yönünü döndürmek, masaüstü simgelerini gizlemek, sistemi zorla kapatmak ve hatta gerçek zamanlı açılır mesajlar göndermek mümkün oluyor. İlk bakışta zararsız gibi görünen bu özellikler, saldırıya görünürlük ve psikolojik baskı boyutu ekleyerek kurban üzerinde rahatsız edici bir etki yaratıyor.
Saldırılar şu an için Rusya'daki kullanıcıları hedef alırken, satış ve dağıtım modeli göz önüne alındığında, zararlının farklı ülkelere yayılma potansiyeli oldukça yüksek görünüyor.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, bu denli kapsamlı bir yetenek setinin, saldırıya maruz kalanların 360 derece ele geçirilmesine ve gizliliğin tamamen ortadan kalkmasına yol açtığını belirtti.
Bezvershenko, hesap erişim bilgilerinin ele geçirilmesinin ötesinde, çalınan verilerin şantaj amacıyla da kullanılabileceğini kaydetti.
İlk bulaşma vektörünün henüz net olarak belirlenemediğini anlatan Bezvershenko, 'Ancak şimdiden onlarca kurbanı etkilediği görülüyor. Telemetri verilerimiz, zararlının yeni versiyonlarının da tespit edildiğini gösteriyor, bu da aktif olarak geliştirilmeye ve sürdürülmeye devam ettiğine işaret ediyor. Önümüzdeki dönemde hem kurban sayısının hem de coğrafi yayılımın önemli ölçüde artmasını bekliyoruz.' ifadelerini kullandı.
