Новый троянец-пранкер контролирует заражённые компьютеры и жестоко «шутит» над их владельцами
Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) обнаружили ранее неизвестный троянец удалённого доступа CrystalX. Он позволяет злоумышленникам не только красть данные с компьютера и следить за его владельцем, но и демонстративно управлять устройством в режиме реального времени: заставлять курсор дрожать, менять настройки экрана, а также отправлять сообщения жертве. Таким образом атака становится видимой — пользователь буквально наблюдает, как компьютер выходит из-под контроля.
Что умеет зловред. Помимо стандартных функций троянца удалённого доступа (RAT), CrystalX объединяет возможности стилера (программы для кражи данных), кейлоггера (инструмента для записи нажатия клавиш), клиппера (программы, подменяющей адреса криптокошельков в буфере обмена) и шпионского ПО.
Зловред может собирать системную информацию, учётные данные для Steam, Discord и Telegram, данные из веб-браузеров, а также вести полноценную слежку: делать снимки экрана, записывать звук с микрофона и видео — как с веб-камеры, так и с экрана устройства. Из-за наличия в его составе клиппера особую угрозу он представляет для владельцев криптовалюты.
Изощрённые насмешки. Отдельного внимания заслуживают так называемые prankware-функции, предназначенные для розыгрыша над пользователем. С их помощью злоумышленники могут в режиме реального времени вмешиваться в работу устройства: трясти курсор, менять обои и ориентацию экрана, скрывать иконки, выключать систему и отправлять всплывающие сообщения. Таким образом атакующие оказывают психологическое давление на жертву: пользователь не только теряет данные, но и видит процесс компрометации и утрату контроля над устройством.
CrystalX распространяется по модели «вредоносное ПО как услуга» (Malware-as-a-service): его реклама есть на YouTube и в Telegram. Это снижает порог входа для атакующих и повышает риск массового использования троянца, в том числе менее опытными злоумышленниками.
«Зловред является полнофункциональным инструментом для кражи данных и слежки, при этом позволяет атакующим оказывать дополнительное психологическое давление на жертву. Наша телеметрия обнаруживает новые версии имплантов, а значит это вредоносное ПО активно разрабатывается и поддерживается. Мы ожидаем, что в ближайшем будущем число жертв значительно возрастёт, а география распространения расширится», — предупреждает Леонид Безвершенко, старший эксперт Kaspersky GReAT.
Полная версия отчёта с результатами анализа CrystalX и индикаторами компрометации доступна на Securelist.
Для защиты от такой программы «Лаборатория Касперского» рекомендует пользователям:
- скачивать приложения только из официальных магазинов, это снижает риск получить на устройство вредоносное ПО;
- установить на все устройства надёжное защитное решение, эффективность которогоподтверждена независимыми тестовыми лабораториями, такое как Kaspersky Premium;
- в настройках Windows можно включить опцию «Показывать расширения файлов». Это значительно упростит распознавание потенциально вредоносных файлов. Не стоит открывать файлы с расширениями exe, vbs и scr;
- осторожно относиться к любым входящим сообщениям с ссылками и вложениями, поскольку в них может содержаться вредоносное ПО.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 35 экспертов, работающих по всему миру — в Европе, России, Северной и Южной Америке, Азии, на Ближнем Востоке. Талантливые профессионалы в сфере кибербезопасности играют ведущую роль в исследовании вредоносного ПО и создании инновационных методов борьбы с ним. Их богатый опыт, мотивация и любознательность способствуют эффективному обнаружению и анализу киберугроз.
4 комментария