**CrystalRAT**, que surgiu em janeiro com um modelo de assinatura escalonado, oferece acesso remoto, roubo de dados, keylogging e funcionalidades de sequestro de clipboard. Pesquisadores da **Kaspersky** notaram fortes semelhanças com o **WebRAT** (Salat Stealer), incluindo o design do painel, o código baseado em **Go** e o sistema de vendas baseado em bots. ### CrystalX RAT: Análise Técnica Profunda De acordo com a **Kaspersky**, o malware possui um painel de controle amigável e uma ferramenta de construção automatizada com opções de personalização como geoblocking, personalização de executáveis e recursos anti-análise (anti-debugging, detecção de VM, detecção de proxy, etc.). Os payloads gerados são protegidos usando compressão zlib e criptografia de cifra de fluxo simétrica **ChaCha20**. A comunicação com o servidor de comando e controle (C2) ocorre via WebSocket, transmitindo informações do host para perfilamento e rastreamento de infecção.  *Canal do Telegram promovendo CrystaX RAT. Fonte: Kaspersky* O componente infostealer do CrystalX, atualmente em atualização, tem como alvo navegadores baseados em **Chromium** (via ferramenta ChromeElevator), **Yandex** e **Opera**. Ele também coleta dados de aplicativos de desktop como **Steam**, **Discord** e **Telegram**. O módulo de acesso remoto permite a execução de comandos via CMD, upload/download de arquivos, navegação no sistema de arquivos e controle em tempo real da máquina através de VNC integrado. Adicionalmente, o **CrystalX** possui capacidades de spyware, incluindo captura de vídeo e áudio do microfone. Ele também inclui um keylogger que transmite as teclas digitadas para o C2 em tempo real e uma ferramenta de clipper que troca endereços de carteira no clipboard.  *Função de desktop remoto no painel do CrystalX RAT. Fonte: Kaspersky* ## O Elemento "Prankware" O que distingue o **CrystalX** é seu conjunto de funcionalidades de "prankware", que incluem: * Alterar o papel de parede da área de trabalho * Alterar a orientação da tela * Forçar o desligamento do sistema * Remapear botões do mouse * Desabilitar dispositivos de entrada (teclado/mouse/monitor) * Exibir notificações falsas * Alterar a posição do cursor * Ocultar ícones da área de trabalho, a barra de tarefas, o Gerenciador de Tarefas e o executável do Prompt de Comando * Fornecer uma janela de chat atacante-vítima Embora pareçam triviais, essas funcionalidades podem servir como distração enquanto o roubo de dados ocorre ou atrair atores de ameaça menos sofisticados. Para mitigar o risco de infecção, os usuários devem ter cautela ao interagir com conteúdo online e evitar baixar software de fontes não confiáveis.