Recentemente, pesquisadores da Kaspersky descobriram o CrystalX RAT, um novo malware que combina acesso remoto, roubo de dados, clipper de criptomoedas e prankware, e está sendo comercializado através de um modelo de assinatura no Telegram e no YouTube.
Desde janeiro de 2026, o CrystalX RAT circula como um serviço de malware (MaaS), oferecendo aos criminosos acesso a ferramentas avançadas de invasão em vários níveis de assinatura. Essa descoberta partiu da Kaspersky.
Com um painel de controle intuitivo e uma ferramenta de construção automatizada, o CrystalX permite que os operadores personalizem os executáveis criados.
Entre as várias funcionalidades, destacam-se bloqueio geográfico, anti-debugging, detecção de máquinas virtuais e proxies, além de várias medidas de proteção contra análise que dificultam o trabalho de pesquisadores de segurança.
Com um canal dedicado no YouTube, repleto de demonstrações das funcionalidades, o alcance do MaaS foi ampliado para além dos fóruns criminosos convencionais.
BTG Pactual sofre ataque cibernético e suspende operações Pix
A Kaspersky observou que o design de painel e o código, escritos em Go, têm semelhanças marcantes com o WebRAT, que também opera com um sistema de vendas automatizado.
As cargas úteis geradas através desse malware são compactadas e criptografadas, protegendo os dados durante a transmissão. A comunicação é feita via WebSocket, que mantém uma conexão persistente com o host infectado.
Esse protocolo permite ao malware enviar informações do sistema ao servidor C2, facilitando o rastreamento de infecções.
Roubo de dados em navegadores, apps e carteiras de criptomoedas
A Kaspersky revelou que o módulo de coleta de dados do CrystalX está temporariamente fora de operação enquanto aguarda uma atualização. Seu alvo principal são navegadores baseados em Chromium, como Chrome, Yandex e Opera, além de aplicativos como Steam, Discord e Telegram.
A Lei Felca pode bloquear o Linux no Brasil? — OPINIÃO
O módulo de acesso remoto do CrystalX permite que o operador execute comandos, envie e receba arquivos, navegue pelo sistema e controle a máquina em tempo real através de uma interface VNC. O malware ainda possui a capacidade de gravar áudio e vídeo, comportamento típico de spyware.
O keylogger do malware envia em tempo real os dados digitados para o servidor, enquanto o módulo clipper monitoriza a área de transferência para interceptar endereços de carteiras de criptomoedas, substituindo-os por endereços dos atacantes, permitindo transferências fraudulentas.
Prankware como inovação
O diferencial do CrystalX na área de MaaS é a variedade de recursos de prankware, projetados para prejudicar o usuário da máquina infectada.
Esse malware pode mudar papel de parede, alterar a orientação da tela, desativar teclado e mouse, forçar o desligamento do sistema e exibir notificações enganosas.
Por que o Android terá espera de 24h para instalar apps fora da Play Store?
Adicionalmente, os criminosos podem manipular o cursor e ocultar ícones desktop, a barra de tarefas e até o Gerenciador de Tarefas. A Kaspersky acredita que esses recursos podem ter duas funções: atrair usuários com menos experiência técnica e agir como distração para os módulos de roubo de dados funcionando em segundo plano.
No momento, a forma como o CrystalX RAT compromete dispositivos permanece desconhecida, embora a Kaspersky tenha notado infecções principalmente na Rússia. Importante frisar que o malware não possui limitações geográficas, podendo atingir vítimas globalmente.
Crunchyroll está entre empresas vítimas de vazamento massivo de dados
Siga a TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.