Атакам зловреда подвергаются российские пользователи
Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) обнаружили ранее неизвестный троянец удалённого доступа CrystalX. Он позволяет злоумышленникам не только красть данные с компьютера и следить за его владельцем, но и демонстративно управлять устройством в режиме реального времени: заставлять курсор дрожать, менять настройки экрана, а также отправлять сообщения жертве. Таким образом атака становится видимой — пользователь буквально наблюдает, как компьютер выходит из-под контроля.
Что умеет зловред. Помимо стандартных функций троянца удалённого доступа (RAT), CrystalX объединяет возможности стилера (программы для кражи данных), кейлоггера (инструмента для записи нажатия клавиш), клиппера (программы, подменяющей адреса криптокошельков в буфере обмена) и шпионского ПО.
Зловред может собирать системную информацию, учётные данные для Steam, Discord и Telegram, данные из веб-браузеров, а также вести полноценную слежку: делать снимки экрана, записывать звук с микрофона и видео — как с веб-камеры, так и с экрана устройства. Из-за наличия в его составе клиппера особую угрозу он представляет для владельцев криптовалюты.
Изощрённые насмешки. Отдельного внимания заслуживают так называемые prankware-функции, предназначенные для розыгрыша над пользователем. С их помощью злоумышленники могут в режиме реального времени вмешиваться в работу устройства: трясти курсор, менять обои и ориентацию экрана, скрывать иконки, выключать систему и отправлять всплывающие сообщения. Таким образом атакующие оказывают психологическое давление на жертву: пользователь не только теряет данные, но и видит процесс компрометации и утрату контроля над устройством.
CrystalX распространяется по модели «вредоносное ПО как услуга» (Malware-as-a-service): его реклама есть на YouTube и в Telegram. Это снижает порог входа для атакующих и повышает риск массового использования троянца, в том числе менее опытными злоумышленниками.
«Зловред является полнофункциональным инструментом для кражи данных и слежки, при этом позволяет атакующим оказывать дополнительное психологическое давление на жертву. Наша телеметрия обнаруживает новые версии имплантов, а значит это вредоносное ПО активно разрабатывается и поддерживается. Мы ожидаем, что в ближайшем будущем число жертв значительно возрастёт, а география распространения расширится», — предупреждает Леонид Безвершенко, старший эксперт Kaspersky GReAT.
Полная версия отчёта с результатами анализа CrystalX и индикаторами компрометации доступна на Securelist.
Для защиты от такой программы «Лаборатория Касперского» рекомендует пользователям:
- скачивать приложения только из официальных магазинов, это снижает риск получить на устройство вредоносное ПО;
- установить на все устройства надёжное защитное решение, эффективность которого подтверждена независимыми тестовыми лабораториями, такое как Kaspersky Premium;
- в настройках Windows можно включить опцию «Показывать расширения файлов». Это значительно упростит распознавание потенциально вредоносных файлов. Не стоит открывать файлы с расширениями exe, vbs и scr;
- осторожно относиться к любым входящим сообщениям с ссылками и вложениями, поскольку в них может содержаться вредоносное ПО.
Источник: пресс-служба «Лаборатории Касперского»
