Siber güvenlik araştırmacıları, QuimaRAT adı verilen yeni bir Java tabanlı uzaktan erişim truva atını (RAT) tespit etti. LevelBlue tarafından yapılan analize göre, bu çapraz platform kötü amaçlı yazılım, hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle satışa sunuluyor. Fiyatlandırma, bir aylık kullanım için 150 dolardan ömür boyu erişim için 1.200 dolara kadar değişiyor. Diğer abonelik seçenekleri arasında üç aylık 300 dolar, altı aylık 500 dolar ve on iki aylık 700 dolar yer alıyor. Bu esnek fiyatlandırma, saldırganların bütçelerine göre farklı paketleri tercih etmesine olanak tanıyor.
QuimaRAT, modüler bir mimari etrafında inşa edilmiş olup, komuta ve kontrol (C2) altyapısı üzerinden şifrelenmiş eklentiler aracılığıyla dinamik yetenek genişletmesini destekliyor. LevelBlue'nun analizine göre, kötü amaçlı yazılımın yazarı, JAR, EXE, APP, SH, BAT ve VBS dahil olmak üzere birden fazla çıktı formatı üretebilen bir oluşturucu da sunuyor. Bu, potansiyel müşterilerin istemciyi farklı ortamlar ve dağıtım senaryoları için paketlemesine yardımcı olmayı amaçlıyor. Ayrıca satıcı, Windows ve Linux'ta tam gizlilik garantisi verirken, macOS'ta ekran yakalama ve giriş kontrolü gibi bazı özelliklerin kullanıcı tarafından verilen yönetici izinleri gerektirdiğini belirtiyor.
QuimaRAT, dört ana araçtan oluşuyor: Quima Control (74 Windows ve 46 macOS/Linux modülü içeren uzaktan yönetim aracı), Quima Builder (XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL ve CHM dosya formatlarını destekleyen modüler oluşturucu), Quima Loader (tarayıcı önbelleği tabanlı yük dağıtım servisi) ve Quima Dropper (HTML/SVG yük üreticisi). Özellikle Quima Loader, operatörün özel bir panel üzerinden EXE dosyası yüklemesine ve teslimat formatı (HTA veya LNK gibi) ile açılış sayfası şablonu (sahte CAPTCHA veya yazılım güncelleme uyarıları gibi) seçmesine olanak tanıyor. Bu araç, kurbanın tarayıcısında açtığında belirli bir eylem dizisini başlatan bir stager bağlantısı oluşturuyor.
LevelBlue'nun analizi, QuimaRAT'ın Apache Maven kullanılarak oluşturulmuş modüler bir Java projesi olduğunu ve Windows, Linux ile macOS için çeşitli mimarilerde gömülü Java Native Access (JNA) yerel kütüphaneleri içerdiğini gösteriyor. Kötü amaçlı yazılım, ortam doğrulaması, kalıcılık kurulumu ve C2 başlatması için gerekli bir iç yapılandırma dosyasını kodlayıp ayrıştırıyor. Araştırmacılar, bu yerel bileşenlerin RAT'ın düşük seviyeli işletim sistemi API'leriyle doğrudan etkileşime girmesine izin verdiğini ve geniş çoklu platform dağıtımını desteklediğini belirtiyor. Ayrıca, truva atı enfekte makinede aynı anda yalnızca bir örneğinin çalışmasını sağlamak için bir kilit dosyası oluşturuyor ve sanal ortamları tespit etme, kalıcılık sağlama ve ana yükü çalıştırma gibi işlemler için işletim sistemi adını kullanıyor.