Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreidawu3wpg25znosa5s5jhqe2pqbltqihxuvwk6l7hwgayghyinqxq",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mijzxph7dyl2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreihgjhp4onkpbu5ws32pu6uy675uu3sfojrjxt3pvm4h4b6pnyluia"
    },
    "mimeType": "image/png",
    "size": 958116
  },
  "path": "/seguranca/412141-virus-por-assinatura-rouba-dados-e-ainda-faz-piada-com-pc-de-vitimas.htm",
  "publishedAt": "2026-04-02T20:15:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "Um novo malware como serviço (MaaS) chamado CrystalX RAT está sendo promovido no Telegram e no YouTube desde janeiro de 2026. Ele possui um modelo de assinatura por níveis, que coloca ferramentas avançadas de acesso remoto e roubo de dados ao alcance de qualquer criminoso disposto a pagar. A descoberta é da Kaspersky.\n\nO CrystalX oferece um painel de controle com interface acessível e uma ferramenta de construção automatizada que permite ao operador personalizar os executáveis gerados.\n\nAs opções incluem bloqueio geográfico, anti-debugging, detecção de máquina virtual e detecção de proxy, que incluem recursos de anti-análise que dificultam a investigação por pesquisadores de segurança.\n\nA divulgação em um canal dedicado no YouTube, com vídeos demonstrando funcionalidades, amplia o alcance do MaaS para além dos fóruns criminosos tradicionais.\n\nPesquisadores acreditam que o CrystalX RAT é uma cópia do WebRAT, outro malware conhecido na dark web. Imagem: Kaspersky.\n\nOs pesquisadores da Kaspersky identificaram fortes semelhanças com o WebRAT, também conhecido como Salat Stealer. Ambos tem mesmo design de painel, código escrito em Go e um sistema de vendas operado por bots.\n\nAs cargas úteis geradas são compactadas com zlib e cifradas com ChaCha20, um algoritmo de criptografia de fluxo simétrico que protege o conteúdo em trânsito. A comunicação com o servidor de comando e controle (C2) ocorre via WebSocket.\n\nDepois de ser acusado de copiar o WebRAT, seus criadores fizeram uma mudança na identidade visual e nas divulgações do malware, e começaram a chamá-lo de CrystalX RAT. Imagem: Kaspersky.\n\nEste é um protocolo que mantém uma conexão persistente e bidirecional com o host infectado. No momento da conexão o CrystalX envia informações do sistema para rastreamento da infecção.\n\n## Coleta de dados em navegadores, apps e carteiras de criptomoedas\n\nA Kaspersky identificou que o infostealer do CrystalX está temporariamente desativado enquanto aguarda uma atualização. Esse malware tem como alvo navegadores baseados em Chromium por meio da ferramenta ChromeElevator, além do Yandex e do Opera. A coleta se estende a aplicativos desktop como Steam, Discord e Telegram.\n\nO módulo de acesso remoto permite ao operador executar comandos via CMD, um interpretador de linha de comando no Windows, fazer upload e download de arquivos, navegar pelo sistema de arquivos e controlar a máquina em tempo real por VNC integrado. O malware também captura vídeo e áudio do microfone, comportamento característico de spyware.\n\nComo tanto o invasor quanto a vítima utilizam a mesma sessão, o painel oferece vários botões para bloquear as entradas do usuário, de modo que o invasor possa realizar as ações necessárias sem impedimentos. Imagem: Kaspersky.\n\nO keylogger transmite em tempo real as teclas digitadas pela vítima para o C2. O módulo clipper monitora a área de transferência com expressões regulares para detectar endereços de carteiras de criptomoedas e substituí-los pelos endereços do atacante. Isso inclui redirecionar transferências sem que a vítima perceba a troca.\n\n## Prankware como diferencial\n\nO que distingue o CrystalX no mercado de MaaS é um conjunto extenso de recursos de prankware, funcionalidades projetadas para perturbar o uso da máquina infectada.\n\nO malware pode alterar o papel de parede e a orientação da tela, remapear os botões do mouse, desativar teclado, mouse e monitor, forçar o desligamento do sistema e exibir notificações falsas.\n\nO invasor também pode enviar uma mensagem à vítima, após o que uma janela de diálogo será aberta no sistema, permitindo um bate-papo bidirecional.\n\nAlém disso, os criminosos conseguem manipular a posição do cursor e ocultar ícones da área de trabalho, a barra de tarefas, o Gerenciador de Tarefas e o executável do Prompt de Comando. Há ainda uma janela de chat que permite comunicação direta entre o operador e a vítima.\n\nA Kaspersky aponta dois usos prováveis para esses recursos. O primeiro é mercadológico, uma vez que o apelo lúdico da ferramenta tende a atrair agentes de ameaça com pouca experiência técnica, ampliando a base de clientes do MaaS.\n\nAinda não há maneiras de se proteger, já que pesquisadores não sabem como o malware chega até as vítimas.\n\nO segundo é operacional, já que os recursos de prankware podem funcionar como camada de distração enquanto os módulos de roubo de dados executam em segundo plano.\n\nPor enquanto, os pesquisadores ainda não descobriram como o CrystalX RAT chega até as vítimas, mas já é certo que ele está afetando dezenas de vítimas. Até o momento, a Kaspersky só identificou tentativas de infecção na Rússia, mas ressalta que o MaaS não tem restrições regionais, o que significa que ele pode atacar pessoas de qualquer país.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "Vírus por assinatura rouba dados e ainda faz piada com PC de vítimas"
}