){kind=link}
Um novo malware como serviço (MaaS) chamado CrystalX RAT está sendo promovido no Telegram e no YouTube desde janeiro de 2026. Ele possui um modelo de assinatura por níveis, que coloca ferramentas avançadas de acesso remoto e roubo de dados ao alcance de qualquer criminoso disposto a pagar. A descoberta é da Kaspersky.
O CrystalX oferece um painel de controle com interface acessível e uma ferramenta de construção automatizada que permite ao operador personalizar os executáveis gerados.
smart_display
Nossos vídeos em destaque
As opções incluem bloqueio geográfico, anti-debugging, detecção de máquina virtual e detecção de proxy, que incluem recursos de anti-análise que dificultam a investigação por pesquisadores de segurança.
A divulgação em um canal dedicado no YouTube, com vídeos demonstrando funcionalidades, amplia o alcance do MaaS para além dos fóruns criminosos tradicionais.
Os pesquisadores da Kaspersky identificaram fortes semelhanças com o WebRAT, também conhecido como Salat Stealer. Ambos tem mesmo design de painel, código escrito em Go e um sistema de vendas operado por bots.
As cargas úteis geradas são compactadas com zlib e cifradas com ChaCha20, um algoritmo de criptografia de fluxo simétrico que protege o conteúdo em trânsito. A comunicação com o servidor de comando e controle (C2) ocorre via WebSocket.
)
Este é um protocolo que mantém uma conexão persistente e bidirecional com o host infectado. No momento da conexão o CrystalX envia informações do sistema para rastreamento da infecção.
Coleta de dados em navegadores, apps e carteiras de criptomoedas
A Kaspersky identificou que o infostealer do CrystalX está temporariamente desativado enquanto aguarda uma atualização. Esse malware tem como alvo navegadores baseados em Chromium por meio da ferramenta ChromeElevator, além do Yandex e do Opera. A coleta se estende a aplicativos desktop como Steam, Discord e Telegram.
O módulo de acesso remoto permite ao operador executar comandos via CMD, um interpretador de linha de comando no Windows, fazer upload e download de arquivos, navegar pelo sistema de arquivos e controlar a máquina em tempo real por VNC integrado. O malware também captura vídeo e áudio do microfone, comportamento característico de spyware.
)
O keylogger transmite em tempo real as teclas digitadas pela vítima para o C2. O módulo clipper monitora a área de transferência com expressões regulares para detectar endereços de carteiras de criptomoedas e substituí-los pelos endereços do atacante. Isso inclui redirecionar transferências sem que a vítima perceba a troca.
Prankware como diferencial
O que distingue o CrystalX no mercado de MaaS é um conjunto extenso de recursos de prankware, funcionalidades projetadas para perturbar o uso da máquina infectada.
O malware pode alterar o papel de parede e a orientação da tela, remapear os botões do mouse, desativar teclado, mouse e monitor, forçar o desligamento do sistema e exibir notificações falsas.
)
Além disso, os criminosos conseguem manipular a posição do cursor e ocultar ícones da área de trabalho, a barra de tarefas, o Gerenciador de Tarefas e o executável do Prompt de Comando. Há ainda uma janela de chat que permite comunicação direta entre o operador e a vítima.
A Kaspersky aponta dois usos prováveis para esses recursos. O primeiro é mercadológico, uma vez que o apelo lúdico da ferramenta tende a atrair agentes de ameaça com pouca experiência técnica, ampliando a base de clientes do MaaS.
)
O segundo é operacional, já que os recursos de prankware podem funcionar como camada de distração enquanto os módulos de roubo de dados executam em segundo plano.
Por enquanto, os pesquisadores ainda não descobriram como o CrystalX RAT chega até as vítimas, mas já é certo que ele está afetando dezenas de vítimas. Até o momento, a Kaspersky só identificou tentativas de infecção na Rússia, mas ressalta que o MaaS não tem restrições regionais, o que significa que ele pode atacar pessoas de qualquer país.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.