190/69 (IT) ประจำวันศุกร์ที่ 3 เมษายน 2569
นักวิจัยด้านความปลอดภัยจาก Kaspersky ตรวจพบการแพร่ระบาดของมัลแวร์ใหม่ในชื่อ CrystalRAT หรือ CrystalX ซึ่งถูกนำมาโปรโมตในรูปแบบ Malware-as-a-Service (MaaS) ผ่านทาง Telegram และ YouTube โดยมัลแวร์ตัวนี้เขียนขึ้นด้วยภาษา Go และมีความคล้ายคลึงกับ WebRAT ในอดีต จุดที่น่ากังวลคือมีการใช้โมเดลธุรกิจแบบแบ่งระดับสมาชิก (Tiered Subscription) เพื่อดึงดูดอาชญากรไซเบอร์ทุกระดับ ตั้งแต่แค่ระดับมือสมัครเล่นไปจนถึงมืออาชีพ ให้สามารถเข้าถึงเครื่องมือโจมตีที่มีประสิทธิภาพสูงได้อย่างง่ายดาย พร้อมระบบควบคุมที่ใช้งานง่ายผ่านแผงควบคุมที่รองรับการปรับแต่งได้หลากหลาย
ในด้านขีดความสามารถทางเทคนิค CrystalRAT เป็นมัลแวร์ที่มีความสามารถรอบด้าน ทั้งการเป็น Remote Access Trojan (RAT) ที่ช่วยให้คนร้ายควบคุมเครื่องเหยื่อได้แบบเรียลไทม์ผ่าน VNC, แอบบันทึกวิดีโอและเสียงจากไมโครโฟน, ไปจนถึงการแฝงตัวเป็น Infostealer เพื่อขโมยข้อมูลรหัสผ่านและคุกกี้จากเบราว์เซอร์ รวมถึงข้อมูลจากแอปพลิเคชันอย่าง Steam, Discord และ Telegram นอกจากนี้ยังมีฟีเจอร์ Clipper ที่คอยตรวจจับที่อยู่กระเป๋าเงินคริปโตใน Clipboard เพื่อสลับเป็นของคนร้าย และ Keylogger ที่ส่งข้อมูลการพิมพ์กลับไปยังเซิร์ฟเวอร์ควบคุม (C2) ทันที โดยมีการเข้ารหัสข้อมูลด้วย ChaCha20 เพื่อหลบเลี่ยงการตรวจสอบจากระบบรักษาความปลอดภัย
สิ่งที่ทำให้ CrystalRAT แตกต่างจากมัลแวร์ทั่วไปคือการใส่ฟีเจอร์ Prankware หรือเครื่องมือกวนประสาทเข้ามาเป็นจำนวนมาก (ในเมนูชื่อ Rofl) เช่น การสั่งกลับหน้าจอ, การซ่อนแถบ Taskbar, การล็อคเมาส์และคีย์บอร์ด หรือการแสดงข้อความแจ้งเตือนปลอม ซึ่งผู้เชี่ยวชาญมองว่าฟีเจอร์เหล่านี้อาจถูกใช้เพื่อเบี่ยงเบนความสนใจของเหยื่อในขณะที่ตัวมัลแวร์กำลังแอบขโมยข้อมูลอยู่เบื้องหลัง หรือใช้เพื่อการแบล็กเมล์สร้างความรำคาญ ผู้ใช้งานจึงควรเพิ่มความระมัดระวังในการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่รู้จัก และหลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยเพื่อป้องกันการตกเป็นเหยื่อของการจารกรรมข้อมูลที่มีความซับซ้อนนี้