**CrystalRAT**, apparu en janvier avec un modèle d'abonnement à plusieurs niveaux, offre des capacités d'accès à distance, de vol de données, de keylogging et d'hijacking du presse-papiers. Les chercheurs de **Kaspersky** ont noté de fortes similitudes avec **WebRAT** (Salat Stealer), notamment dans la conception du panneau, le code basé sur **Go** et le système de vente basé sur des bots. ### CrystalX RAT : Analyse Technique Approfondie Selon **Kaspersky**, le malware dispose d'un panneau de contrôle convivial et d'un outil de création automatisé avec des options de personnalisation telles que le géoblocage, la personnalisation des exécutables et des fonctionnalités anti-analyse (anti-débogage, détection de VM, détection de proxy, etc.). Les payloads générés sont protégés à l'aide de la compression zlib et du chiffrement symétrique en flux **ChaCha20**. La communication avec le serveur de commande et de contrôle (C2) s'effectue via WebSocket, transmettant les informations de l'hôte pour le profilage et le suivi des infections.  *Canal Telegram faisant la promotion de CrystaX RAT. Source : Kaspersky* Le composant infostealer de CrystalX, actuellement en cours de mise à niveau, cible les navigateurs basés sur **Chromium** (via l'outil ChromeElevator), **Yandex** et **Opera**. Il collecte également des données à partir d'applications de bureau telles que **Steam**, **Discord** et **Telegram**. Le module d'accès à distance permet l'exécution de commandes via CMD, le téléchargement/téléversement de fichiers, la navigation dans le système de fichiers et le contrôle de la machine en temps réel via VNC intégré. De plus, **CrystalX** possède des capacités de spyware, y compris la capture vidéo et audio du microphone. Il inclut également un keylogger qui transmet les frappes au C2 en temps réel et un outil de clipper qui échange les adresses de portefeuille dans le presse-papiers.  *Fonctionnalité de bureau à distance dans le panneau CrystalX RAT. Source : Kaspersky* ## L'Élément Logiciel de Farce Ce qui distingue **CrystalX**, c'est sa gamme de fonctionnalités de logiciel de farce, qui comprennent : * Modification du fond d'écran du bureau * Modification de l'orientation de l'affichage * Forçage de l'arrêt du système * Remappage des boutons de la souris * Désactivation des périphériques d'entrée (clavier/souris/moniteur) * Affichage de fausses notifications * Modification de la position du curseur * Masquage des icônes du bureau, de la barre des tâches, du Gestionnaire des tâches et de l'exécutable de l'Invite de commandes * Fourniture d'une fenêtre de chat attaquant-victime Bien que semblant frivoles, ces fonctionnalités pourraient servir de distraction pendant le vol de données ou attirer des acteurs de menace moins sophistiqués. Pour atténuer le risque d'infection, les utilisateurs doivent faire preuve de prudence lors de l'interaction avec le contenu en ligne et éviter de télécharger des logiciels provenant de sources non fiables.