CrystalX combina características de spyware, stealer e prankware

O pesquisador de segurança GReAT descobriu o CrystalX RAT, um Trojan MaaS baseado em Go promovido via bate-papos privados no Telegram que combina keylogger, C2 WebSocket, credential stealer, crypto clipper injetado pelo Chrome DevTools Protocol, VNC, captura de microfone/webcam e um módulo de prankware "Rofl" em uma plataforma de assinatura única. Os implantes são comprimidos com zlib e criptografados com ChaCha20, e o malware patcha ativamente AmsiScanBuffer, EtwEventWrite e MiniDumpWriteDump para evadir a detecção e complicar a análise forense. Os defensores devem bloquear os domínios C2 webcrystal[.]lol, webcrystal[.]sbs e crystalxrat[.]top, e procurar extensões maliciosas caídas em %LOCALAPPDATA%\Microsoft\Edge\ExtSvc e invocações ChromeElevator de %TEMP%\svc[rndInt].exe.