**CrystalRAT**, das im Januar mit einem gestaffelten Abonnementmodell auf den Markt kam, bietet Funktionen für Fernzugriff, Datendiebstahl, Keylogging und Clipboard-Hijacking. **Kaspersky**-Forscher haben starke Ähnlichkeiten mit **WebRAT** (Salat Stealer) festgestellt, darunter das Design des Panels, der auf **Go** basierende Code und das botbasierte Verkaufssystem. ### CrystalX RAT: Technischer Einblick Laut **Kaspersky** verfügt die Malware über ein benutzerfreundliches Control Panel und ein automatisiertes Builder-Tool mit Anpassungsoptionen wie Geoblocking, Executable-Anpassung und Anti-Analyse-Funktionen (Anti-Debugging, VM-Erkennung, Proxy-Erkennung usw.). Die generierten Payloads werden mit zlib-Kompression und **ChaCha20**-Symmetrieverschlüsselung geschützt. Die Kommunikation mit dem Command-and-Control (C2)-Server erfolgt über WebSocket, wobei Host-Informationen zur Profilerstellung und Infektionsverfolgung übertragen werden.  *Telegram-Kanal wirbt für CrystaX RAT. Quelle: Kaspersky* Die Infostealer-Komponente von CrystalX, die derzeit aufgerüstet wird, zielt auf **Chromium**-basierte Browser (über das ChromeElevator-Tool), **Yandex** und **Opera** ab. Sie sammelt auch Daten von Desktop-Anwendungen wie **Steam**, **Discord** und **Telegram**. Das Fernzugriffsmodul ermöglicht die Ausführung von Befehlen über CMD, Datei-Upload/-Download, Dateisystem-Browsing und Echtzeit-Steuerung des Rechners über integriertes VNC. Darüber hinaus verfügt **CrystalX** über Spyware-Funktionen, einschließlich Video- und Audioaufnahmen über das Mikrofon. Es enthält auch einen Keylogger, der Tastatureingaben in Echtzeit an den C2 streamt, und ein Clipper-Tool, das Wallet-Adressen im Clipboard austauscht.  *Remote-Desktop-Funktion im CrystalX RAT-Panel. Quelle: Kaspersky* ## Das Scherz-Element Was **CrystalX** auszeichnet, ist seine Reihe von Scherz-Funktionen, darunter: * Ändern des Desktop-Hintergrundbilds * Ändern der Bildschirmausrichtung * Erzwingen des System-Shutdowns * Neubelegung von Maustasten * Deaktivieren von Eingabegeräten (Tastatur/Maus/Monitor) * Anzeigen gefälschter Benachrichtigungen * Ändern der Cursor-Position * Ausblenden von Desktop-Symbolen, der Taskleiste, dem Task-Manager und der Eingabeaufforderungs-Executable * Bereitstellen eines Chatfensters zwischen Angreifer und Opfer Diese Funktionen mögen oberflächlich betrachtet trivial erscheinen, könnten aber als Ablenkung dienen, während Datendiebstahl stattfindet, oder weniger anspruchsvolle Bedrohungsakteure anlocken. Um das Risiko einer Infektion zu minimieren, sollten Benutzer vorsichtig beim Umgang mit Online-Inhalten sein und das Herunterladen von Software aus nicht vertrauenswürdigen Quellen vermeiden.