O cenário de ameaças digitais ganhou um novo protagonista em 2026 com o surgimento do CrystalX RAT, um malware como serviço (MaaS) que vem sendo promovido no Telegram e no YouTube desde janeiro. Identificado pela Kaspersky, o serviço adota um modelo de assinatura em diferentes níveis, permitindo que até mesmo criminosos com pouca experiência tenham acesso a ferramentas sofisticadas de invasão e extração de dados.
A solução conta com um painel de controle intuitivo e um construtor automatizado que possibilita a personalização dos arquivos maliciosos. Entre os recursos disponíveis estão bloqueio por região, mecanismos anti-debugging, detecção de máquinas virtuais e identificação de proxies — funcionalidades que dificultam a análise por especialistas em segurança.
A estratégia de divulgação em vídeos no YouTube amplia significativamente o alcance da ameaça, indo além dos fóruns clandestinos tradicionais. Segundo a Kaspersky, o CrystalX apresenta diversas semelhanças com o WebRAT, também chamado de Salat Stealer, incluindo o design da interface, o uso da linguagem Go e um sistema de vendas automatizado por bots.
Do ponto de vista técnico, os arquivos maliciosos são compactados com zlib e protegidos com o algoritmo ChaCha20, garantindo a confidencialidade dos dados. A comunicação com os servidores de comando e controle (C2) é feita via WebSocket, permitindo uma conexão contínua e bidirecional com o dispositivo infectado. Assim que a conexão é estabelecida, informações do sistema são enviadas para monitoramento.
Roubo de dados em navegadores, aplicativos e criptomoedas
Os pesquisadores observaram que o módulo de roubo de informações (infostealer) está temporariamente desativado, aguardando atualização. Ainda assim, o malware já demonstra foco em navegadores baseados em Chromium, utilizando ferramentas como ChromeElevator, além de atingir Yandex e Opera. Aplicativos como Steam, Discord e Telegram também entram na lista de alvos.
O acesso remoto permite ao operador executar comandos no sistema via prompt do Windows, transferir arquivos, explorar diretórios e controlar o computador em tempo real por meio de VNC integrado. O malware também pode capturar áudio e vídeo, reforçando seu caráter de espionagem.
Outros recursos incluem um keylogger que envia em tempo real tudo o que a vítima digita, além de um módulo clipper que monitora a área de transferência. Esse recurso identifica endereços de carteiras de criptomoedas e os substitui pelos dados do atacante, redirecionando transferências sem que o usuário perceba.
Prankware amplia apelo e eficiência do ataque
Um dos diferenciais do CrystalX é a presença de funcionalidades típicas de prankware, projetadas para atrapalhar o uso do computador infectado. Entre elas estão a alteração do papel de parede, mudança na orientação da tela, bloqueio de periféricos, desligamento forçado do sistema e exibição de alertas falsos.
Além disso, o invasor pode mover o cursor, esconder ícones da área de trabalho, ocultar a barra de tarefas e até desativar ferramentas do sistema. Há também um recurso de chat que permite interação direta com a vítima.
De acordo com a Kaspersky, essas funções têm dois objetivos principais: tornar o produto mais atrativo para iniciantes no cibercrime e servir como distração enquanto as operações de coleta de dados ocorrem em segundo plano.
Embora o método de infecção ainda não tenha sido totalmente identificado, já há registros de dezenas de vítimas. Até o momento, os ataques foram observados principalmente na Rússia, mas especialistas alertam que não há limitações geográficas — o que significa que usuários de qualquer país podem ser alvo desse novo malware.
