CrystalX: Desvendando um RAT Go através de três camadas de criptografia

O CrystalX, um RAT MaaS (Malware-as-a-Service) relatado pela primeira vez pela Kaspersky em março, esconde um payload Go de 6.9 MB dentro de um loader compacto do Windows, utilizando três transformações sequenciais: XOR dependente de posição, ChaCha20 e, em seguida, DEFLATE puro. O payload descompactado adiciona uma quarta camada de criptografia AES-GCM sobre todas as strings em runtime. Uma vez decifrado, o RAT estabelece um C2 de WebSocket sobre TLS para crystalxrat[.]net, autenticando-se por meio de um token de builder hardcoded, e suporta mais de 40 comandos que incluem desktop remoto, streaming de webcam, keylogging, roubo de credenciais de navegadores e aplicativos de mensagens (Discord, Telegram e Steam), e opções destrutivas como BSOD e rotação de tela. Defensores devem procurar por artefatos de persistência com ID de build (NvContainerTask_YBFZUW1U32, SecurityHealthSystray.exe em DeviceMetadataStore, Global\WinSecMutex_YBFZUW1U32) e aplicar a regra YARA publicada que visa a chave ChaCha20 do loader e o padrão de transformação XOR.