تظهر خدمة برمجية خبيثة جديدة متعددة الميزات تُعرف باسم كريستالرات (CrystalRAT) أو كريستال إكس (CrystalX) في صورة "برمجية خبيثة كخدمة" (MaaS)، ويتم الترويج لها بنشاط على منصات مثل تيليجرام ويوتيوب، مما يشير إلى اتجاه مقلق في تحويل التهديدات الإلكترونية إلى سلع متاحة. لوحظت الخدمة لأول مرة في يناير، وتعمل بنموذج اشتراك متدرج، مما يجعل أدوات الهجوم المتطورة في متناول نطاق أوسع من الجهات الفاعلة الخبيثة. وفقًا لتقرير مفصل من كاسبرسكي، تظهر كريستالرات تشابهات قوية في الكود والهيكل مع البرمجية الخبيثة المعروفة ويبرات (WebRAT أو سالات ستيلر)، حيث تشاركها قاعدة كود مبنية على لغة Go، وتصميم لوحة تحكم إدارية متطابق، وبنية مبيعات مماثلة تعتمد على البوتات. وهذا يشير إلى وجود صلة تطورية محتملة أو إعادة استخدام للكود داخل النظام البيئي للإجرام الإلكتروني.
تتميز كريستالرات بتجميع مجموعة واسعة من القدرات الخبيثة في حزمة واحدة. وظائفها الأساسية هي تلك الخاصة بحصان طروادة للوصول عن بُعد (RAT) وسارق المعلومات، مما يمكّن الجهات الفاعلة الخبيثة من التحكم عن بُعد في الأنظمة المصابة، وتسجيل ضغطات المفاتيح، وخطف محتويات الحافظة، وسرقة البيانات الحساسة. لتبسيط نشرها، تقدم الخدمة لوحة تحكم سهلة الاستخدام وأداة بناء آلية. تسمح أداة البناء هذه للعملاء بتخصيص حمولاتهم البرمجية الخبيثة بخيارات متنوعة، بما في ذلك حجب جغرافي لاستهداف مناطق معينة، وميزات مضادة للتحليل مثل مكافحة التصحيح واكتشاف الآلة الافتراضية، وتخصيص ملف التنفيذ النهائي.
ربما الأكثر لفتًا للانتباه هو أن كريستالرات تتضمن مجموعة شاملة من ميزات "برمجيات المزاح" المصممة لمضايقة الضحايا وتعطيل عملهم. يمكن أن تشمل هذه الميزات تشغيل الأصوات، وعرض رسائل خطأ مزيفة، وفتح وغلاق درج الأقراص المضغوطة عشوائيًا، أو التلاعب بمؤشر الفأرة. بينما قد يتم تسويق هذه العناصر على أنها "مرحة"، فإنها تهدف إلى إزعاج المستخدمين، وربما تشتيت الانتباه عن الأنشطة الخبيثة الأكثر خطورة التي تحدث في الخلفية، وإظهار سيطرة المشغل على النظام. على الرغم من هذه الطبقة التخريبية، فإن الخطر الأساسي للبرمجية الخبيثة يكمن في مكونات سرقة البيانات القوية لديها.
لأغراض الأمن التشغيلي وتجنب الكشف، تستخدم كريستالرات عدة طرق تقنية للتعتيم. يتم ضغط الحمولات الخبيثة المُنشأة باستخدام zlib ثم تشفيرها باستخدام خوارزمية التشفير التناظرية ChaCha20 قبل نشرها. بمجرد تنفيذها على جهاز الضحية، تقيم البرمجية الخبيثة اتصالاً بخادم التحكم والأمر (C2) عبر بروتوكول WebSocket، وهو خيار شائع للحفاظ على اتصال ثنائي الاتجاه ومستمر. ترسل على الفور معلومات مفصلة عن المضيف المصاب لأغراض التعريف والتتبع. يبرز ظهور كريستالرات الاستمرارية في احترافية عالم الجريمة الإلكترونية السفلي، حيث تخفض الخدمات سهلة الاستخدام عتبة الدخول لتنفيذ هجمات معقدة تجمع بين السرقة المالية والمضايقة النفسية.
