Nieuwe malware actief gepromoot via YouTube en Telegram

CrystalX RAT is ontdekt door onderzoekers van Kaspersky Global Research & Analysis Team (GReAT). De malware kan een grote hoeveelheid gegevens van slachtoffers verzamelen, zoals systeeminformatie, inloggegevens voor diensten als Steam, Discord en Telegram, en gegevens uit webbrowsers. Daarnaast vormt de malware een bedreiging voor cryptocurrencygebruikers, omdat deze een browsergebaseerde clipper bevat die cryptocurrency-walletadressen kan vervangen.

Naast datadiefstal is CrystalX RAT in staat tot volledige surveillance. De malware kan schermafbeeldingen maken, audio opnemen via de microfoon en video vastleggen van zowel de webcam als het scherm van het slachtoffer.

Prankware

Een opvallend kenmerk van CrystalX RAT is de zogenaamde 'Prankware'-functionaliteit, die actief wordt gepromoot door de ontwikkelaars. Hiermee kunnen aanvallers zichtbaar ingrijpen in het systeem van het slachtoffer, bijvoorbeeld door de muiscursor te laten schudden, achtergrondafbeeldingen te wijzigen, de schermoriëntatie aan te passen, bureaubladpictogrammen te verbergen, het systeem geforceerd af te sluiten en zelfs realtime pop-upmeldingen en berichten naar het slachtoffer te sturen. Hoewel deze functies op het eerste gezicht triviaal lijken, voegen ze volgens Kaspersky een ontwrichtende en psychologische dimensie toe aan de aanval, waardoor deze zowel zichtbaar als verontrustend wordt voor het slachtoffer.

Kaspersky meldt dat de aanvallen zich momenteel richten op gebruikers in Rusland, maar door het verkoop- en distributiemodel kan de trojan zich naar andere landen verspreiden.

'Al tientallen slachtoffers'

Leonid Bezvershenko, senior securityonderzoeker bij Kaspersky GReAT, stelt: "Een dergelijk divers scala aan functionaliteiten maakt een volledige inbreuk op de privacy van het slachtoffer mogelijk. Naast het verkrijgen van toegang tot accountgegevens, kan de gestolen data mogelijk worden gebruikt voor afpersing. Op dit moment is de initiële infectiebron niet precies bekend, maar er zijn al tientallen slachtoffers. Onze telemetrie detecteert nieuwe versies van de malware, wat aangeeft dat deze nog actief wordt ontwikkeld en onderhouden. We verwachten dat het aantal slachtoffers aanzienlijk zal groeien en dat de geografische verspreiding in de nabije toekomst zal toenemen."

Kaspersky adviseert gebruikers om de volgende maatregelen te nemen om zich te beschermen:

• Wees voorzichtig bij het openen of downloaden van bestanden die via messengers of e-mails zijn ontvangen, omdat deze malware kunnen bevatten.
• Gebruik een sterke beveiligingsoplossing op alle computers en mobiele apparaten, zoals Kaspersky Premium. Dit zal waarschuwen en infecties voorkomen.
• Schakel de optie 'bestandsextensies weergeven' in de Windows-instellingen in. Hierdoor zijn mogelijk kwaadaardige bestanden gemakkelijker te herkennen. Trojans zijn programma's, dus wees alert op bestandsextensies zoals "exe", "vbs" en "scr". Cybercrimineelen kunnen meerdere extensies gebruiken om een kwaadaardig bestand te vermommen als een video, foto of document.
• Wees alert op e-mailmeldingen. Cybercrimineelen verspreiden vaak nep-e-mails die notificaties van een webwinkel of bank nabootsen, om gebruikers te verleiden op een kwaadaardige link te klikken en zo malware te verspreiden.