Cybersecurity-onderzoekers hebben een nieuwe op Java gebaseerde Remote Access Trojan (RAT) genaamd QuimaRAT dat zich kan richten op Windows-, Linux- en macOS-omgevingen.
Volgens LevelBlue wordt de platformonafhankelijke malware geadverteerd onder een Malware-as-a-Service (MaaS)-model, dat ergens tussen de $150 voor een maand en $1200 voor levenslange toegang kost. Andere abonnementsniveaus omvatten $300 voor drie maanden, $500 voor zes maanden en $700 voor twaalf maanden.
“De RAT is gebouwd rond een modulaire architectuur en ondersteunt de uitbreiding van dynamische capaciteiten via gecodeerde plug-ins die rechtstreeks vanuit de command-and-control (C2)-infrastructuur kunnen worden geleverd, geladen, verwijderd en bijgewerkt”, zei het cyberbeveiligingsbedrijf in een analyse van de malware.
De malware-auteur maakt ook reclame voor een builder die meerdere uitvoerformaten kan genereren, waaronder JAR, EXE, APP, SH, BAT en VBS, wat een poging aangeeft om potentiële klanten te helpen de client op maat te maken voor verschillende omgevingen en leveringsscenario’s.
Het bericht van de verkoper garandeert volledige stealth op Windows en Linux, waarbij wordt opgemerkt dat er geen zichtbare gebruikersinterface-elementen of desktop-items zijn. Op macOS plaatst de bedreigingsactor echter een voorbehoud dat bepaalde functies, zoals schermopname en invoercontrole, ‘door de gebruiker verleende beheerdersrechten’ vereisen.
Bij een bezoek aan hun website worden gebruikers begroet door een pop-upbericht waarin staat dat het platform “offensieve beveiligingstools biedt die uitsluitend bedoeld zijn voor professioneel beveiligingsonderzoek, geautoriseerde penetratietesten en gecontroleerde educatieve omgevingen”, waarbij hen wordt gewaarschuwd het niet te gebruiken voor “kwaadwillige, ongeoorloofde of illegale doeleinden.”
In totaal biedt de dreigingsactor vier instrumenten:
- Quima-controle (ook bekend als QuimaRAT), een tool voor extern beheer met 74 Windows- en 46 macOS- en Linux-modules
- Quima Bouwereen modulaire bouwer en launcher-toolkit met ondersteuning voor de bestandsformaten XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL en CHM
- Quima-ladereen browser-cache payload-bezorgservice om de malware-payload te organiseren en af te leveren
- Quima Druppelaareen HTML/SVG-payloadgenerator
Vooral Quima Loader is opmerkelijk, omdat het een operator in staat stelt een EXE-bestand te uploaden via een speciaal paneel en een leveringsformaat (bijv. HTA of LNK) en een landingspaginasjabloon (bijv. valse CAPTCHA-controle of waarschuwingen voor software-updates) te selecteren, waarna de tool een stager-link genereert die, wanneer deze door het slachtoffer in de browser wordt geopend, de volgende reeks acties initieert, aldus de malware-ontwikkelaar:
- De landingspagina wordt geladen en de payload wordt opgehaald en in de browsercache bewaard.
- Er verschijnt een downloadknop op de pagina.
- Als u erop klikt, wordt een “klein, schoon laderbestand” opgeslagen dat door de browser wordt vertrouwd.
- Target voert de lader uit, die de in de cache opgeslagen payload leest.
- De belangrijkste payload wordt uitgevoerd op het systeem, terwijl de SmartScreen-beveiligingen op Windows worden omzeild.
“Een RAT, een buildersuite, een webloader en een HTML-dropper – elk gebouwd rond wat Windows al vertrouwt”, beweert de auteur achter de Quima-suite op hun website. “Native uitvoeringspaden, systeemeigen bronnen, schone uitvoer. AV (antivirus) ziet niets ongewoons. De gebruiker ook niet.”

De analyse van LevelBlue suggereert dat QuimaRAT is georganiseerd als een modulair Java-project dat is gebouwd met Apache Maven, terwijl het ingebedde Java Native Access (JNA) native bibliotheken voor Windows, Linux en macOS bevat in verschillende architecturen. Het decodeert en parseert ook een intern configuratiebestand dat nodig is voor omgevingsvalidatie, persistentie-installatie en C2-initialisatie.
“Deze native componenten zorgen ervoor dat de RAT rechtstreeks kan communiceren met low-level API’s van het besturingssysteem via C/C++-code, wat duidt op opzettelijke ondersteuning voor een brede implementatie op meerdere platforms”, aldus onderzoekers Chen Aviani en Nikita Kazymirskyi.
Voordat de malware wordt uitgevoerd, zorgt de malware ervoor dat er op een bepaald moment slechts één exemplaar van de trojan op de geïnfecteerde machine draait. Dit wordt bereikt door een vergrendelingsbestand te maken in de tijdelijke map van het besturingssysteem en te voorkomen dat andere processen dit tegelijkertijd gebruiken. Als het detecteert dat een ander RAT-exemplaar de vergrendeling van het bestand al vasthoudt, beëindigt het de uitvoering.
QuimaRAT is ontworpen om de huidige naam van het besturingssysteem te bepalen en deze te gebruiken om de volgende actie te dicteren, inclusief het ontwijken van sandbox- en virtuele omgevingen, het tot stand brengen van persistentie en het bedienen van de belangrijkste payload. Bovendien ondersteunt het de mogelijkheid om een extra ingebedde payload- of loktoepassing uit te voeren samen met het hoofd-RAT-proces als de functionaliteit, genaamd Binder, via de configuratie is ingeschakeld.
De malware zorgt voor persistentie met behulp van verschillende besturingssysteemspecifieke methoden: Registry Run-sleutels, geplande taken en de map Opstarten voor Windows, .desktop autostart-items en crontab-reboot-taken voor Linux, en een LaunchAgent-plist-bestand voor macOS.
Bovendien bevat de Trojan een optioneel op Pastebin gebaseerd C2-hostupdatemechanisme dat wordt beheerd via de configuratie. Met deze aanpak kan de operator de C2-infrastructuur dynamisch roteren of vervangen zonder de lading opnieuw op te bouwen en te herverdelen.
Het einddoel van de QuimaRAT is het tot stand brengen van communicatie met de C2-server via TCP (of afwisselend via WebSocket, TLS en HTTPS) om opdrachten te ontvangen en uit te voeren. Een in de malware ingebouwde watchdog-component zorgt ervoor dat het kanaal actief blijft en er opnieuw verbinding mee maakt, als het contact met de C2-server wegvalt.
“QuimaRAT onderhoudt een interne shutdown-statusvlag die wordt gebruikt om te controleren of de RAT door moet gaan met het uitvoeren van netwerk-, herverbindings-, waakhond- en hersteloperaties”, aldus de onderzoekers. “Dit mechanisme zorgt ervoor dat QuimaRAT kan stoppen met het opnieuw verbinden, de watchdog en het herstel van de communicatie nadat de afsluitmodus is geactiveerd.”
De malware ondersteunt een breed scala aan mogelijkheden, waaronder het op afstand uitvoeren van opdrachten, het op afstand leveren van payloads en plug-ins, diefstal van inloggegevens, persistentie, bestandsoverdracht, manipulatie van het klembord en webcambewaking, waardoor de aanvaller volledige controle krijgt over een geïnfecteerd systeem.
Naast deze conventionele functies die aanwezig zijn in de meeste RAT-malware, vergemakkelijkt QuimaRAT het uitvoeren van bestandsloze shellcodes op Windows-hosts en een veerkrachtig communicatieframework dat permanente toegang tot gecompromitteerde hosts mogelijk maakt.
“QuimaRAT moet worden gezien als een modulair Java RAT-platform in plaats van als een enkel statisch implantaat”, aldus LevelBlue. “Verduisteringsindicatoren van ProGuard-klasse, Maven Shade-verplaatsing, bewaarde runtime-symbolen en synthetische string-decryptors ondersteunen verder de beoordeling dat QuimaRAT is ontworpen om statische vingerafdrukken te roteren zonder het kerngedrag ervan te veranderen.”