Um novo malware como serviço (MaaS) chamado CrystalX RAT está sendo promovido abertamente desde janeiro de 2026 em canais do Telegram e vídeos no YouTube. Desenvolvido em linguagem Go, o CrystalX oferece ferramentas avançadas de acesso remoto, roubo de dados e até funções de “prankware” (para perturbar a vítima), tudo por assinatura em diferentes níveis de preço. A descoberta foi feita pela Kaspersky, que identificou fortes semelhanças com outro malware conhecido, o WebRAT (também chamado Salat Stealer).
O que chama atenção é a facilidade de uso: o CrystalX possui um painel de controle intuitivo e uma ferramenta de construção automatizada que permite ao criminoso gerar executáveis personalizados sem conhecimento técnico avançado. Isso democratiza o acesso a ciberataques sofisticados, colocando o malware ao alcance de qualquer pessoa disposta a pagar.
Principais funcionalidades do CrystalX RAT
- Acesso remoto completo: Permite executar comandos no Prompt de Comando (CMD), fazer upload e download de arquivos, navegar pelo sistema de arquivos e controlar a máquina em tempo real via VNC integrado.
- Roubo de dados: O módulo infostealer (temporariamente desativado em algumas versões) mira navegadores baseados em Chromium, Yandex, Opera, além de aplicativos como Steam, Discord e Telegram. Há também um keylogger em tempo real e um clipper que monitora a área de transferência para substituir endereços de carteiras de criptomoedas.
- Prankware (funções de trollagem): Esta é a grande diferencial do CrystalX. O malware pode:
- Alterar papel de parede e orientação da tela
- Remapear botões do mouse
- Desativar teclado, mouse e monitor
- Forçar desligamento do sistema
- Exibir notificações falsas
- Manipular o cursor e ocultar ícones da área de trabalho, barra de tarefas e Gerenciador de Tarefas
- Abrir uma janela de chat bidirecional entre o atacante e a vítima
Esses recursos de prankware servem tanto como “atração comercial” para atrair criminosos menos experientes quanto como distração enquanto o roubo de dados ocorre em segundo plano.
Como o CrystalX é vendido e distribuído
O malware é oferecido em modelo de assinatura por níveis, com painel de controle acessível e opções de personalização, incluindo:
- Bloqueio geográfico
- Anti-debugging
- Detecção de máquina virtual
- Detecção de proxy
A comunicação com o servidor de comando e controle (C2) é feita via WebSocket, com as cargas úteis compactadas com zlib e criptografadas com ChaCha20 para maior segurança em trânsito.
Após ser acusado de ser uma cópia do WebRAT, os criadores mudaram a identidade visual e passaram a chamá-lo de CrystalX RAT. A divulgação em um canal dedicado no YouTube, com vídeos demonstrando as funcionalidades, ampliou o alcance para além dos fóruns criminosos tradicionais.
Riscos e proteção
Até o momento, a Kaspersky identificou infecções principalmente na Rússia, mas como se trata de um MaaS sem restrições regionais, o risco é global. Ainda não há informações claras sobre o vetor de infecção (como o malware chega às vítimas), o que dificulta a criação de defesas específicas.
Dicas de proteção:
- Mantenha o sistema operacional e antivírus sempre atualizados
- Desconfie de links e arquivos enviados por desconhecidos
- Evite baixar programas de fontes não oficiais
- Use soluções de segurança com detecção comportamental
Conclusão
O CrystalX RAT representa mais um passo na profissionalização do cibercrime: ferramentas avançadas de roubo e controle remoto agora são vendidas como serviço acessível, com divulgação aberta no YouTube. Isso aumenta significativamente o risco para usuários comuns e empresas, especialmente no que diz respeito a roubo de credenciais e criptomoedas.
Fique atento aos sinais de infecção e mantenha boas práticas de segurança digital. Qualquer dúvida sobre proteção contra malwares como esse, deixe nos comentários!
Fonte: InfoMoney (matéria sobre o CrystalX RAT, com base em relatório da Kaspersky – 2026).
