Siber güvenlik araştırmacıları, Windows, Linux ve macOS ortamlarını hedef alabilen yeni bir Java tabanlı uzaktan erişim truva atı (RAT) olan QuimaRAT’ı tespit etti. LevelBlue tarafından yapılan analize göre, çapraz platform desteğine sahip bu kötü amaçlı yazılım, hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle pazarlanıyor. Fiyatlandırma, bir aylık kullanım için 150 dolardan ömür boyu erişim için 1.200 dolara kadar değişiyor; üç aylık 300 dolar, altı aylık 500 dolar ve on iki aylık 700 dolar gibi seçenekler sunuluyor.
QuimaRAT, modüler bir mimari etrafında inşa edilmiş olup, komuta ve kontrol (C2) altyapısı üzerinden şifrelenmiş eklentiler aracılığıyla dinamik yetenek genişletmeyi destekliyor. Kötü amaçlı yazılımın yaratıcısı, JAR, EXE, APP, SH, BAT ve VBS gibi birden fazla çıktı formatı üretebilen bir yapımcı (builder) da sunuyor. Bu sayede müşteriler, farklı ortamlar ve dağıtım senaryoları için özelleştirilmiş istemciler oluşturabiliyor. Satıcı, Windows ve Linux’ta tam gizlilik vaat ederken, macOS’ta ekran yakalama ve giriş kontrolü gibi bazı özellikler için kullanıcıdan yönetici izni alınması gerektiğini belirtiyor.
QuimaRAT’ın dikkat çeken bileşenlerinden biri olan Quima Loader, bir operatörün EXE dosyasını yüklemesine ve HTA veya LNK gibi dağıtım formatları ile sahte CAPTCHA veya yazılım güncelleme uyarıları gibi iniş sayfası şablonları seçmesine olanak tanıyor. Ardından araç, kurbanın tarayıcısında açtığında belirli bir eylem dizisini başlatan bir stager bağlantısı oluşturuyor. Bu süreçte, iniş sayfası yükleniyor, yük tarayıcı önbelleğine alınıyor, bir indirme butonu beliriyor ve tıklandığında tarayıcının güvendiği küçük bir loader dosyası kaydediliyor. Hedef bu loader’ı çalıştırdığında, önbellekteki yükü okuyor ve ana yükü sisteme yürütürken Windows SmartScreen korumalarını atlıyor.
Uzmanların Görüşleri
LevelBlue’nun analizi, QuimaRAT’ın Apache Maven kullanılarak oluşturulmuş modüler bir Java projesi olduğunu ve Windows, Linux ile macOS için yerel Java Native Access (JNA) kütüphaneleri içerdiğini ortaya koydu. Kötü amaçlı yazılım, yürütülmeden önce enfekte makinede aynı anda yalnızca bir örneğin çalışmasını sağlamak için geçici dizinde bir kilit dosyası oluşturuyor. Ayrıca, işletim sistemini tespit ederek kum havuzu ve sanal ortamlardan kaçınma, kalıcılık sağlama ve ana yükü sunma gibi eylemleri gerçekleştiriyor. Kalıcılık için Windows’ta Kayıt Defteri çalıştırma anahtarları, Zamanlanmış Görevler ve Başlangıç klasörü; Linux’ta .desktop otomatik başlatma girdileri ve crontab yeniden başlatma görevleri; macOS’ta ise LaunchAgent plist dosyası kullanılıyor. QuimaRAT, C2 sunucusuyla TCP (veya alternatif olarak WebSocket, TLS ve HTTPS) üzerinden iletişim kurarak komutları alıp yürütüyor ve yerleşik bir bekçi (watchdog) bileşeni sayesinde bağlantı kesilirse yeniden bağlanıyor.