Nuevo QuimaRAT MaaS basado en Java creado para ejecutarse en Windows, Linux y macOS

Los investigadores de ciberseguridad han detectado un novedoso troyano de acceso remoto (RAT) basado en Java llamado QuimaRAT que es capaz de apuntar a entornos Windows, Linux y macOS.

Según LevelBlue, el malware multiplataforma se anuncia bajo un modelo de malware como servicio (MaaS), que cuesta entre 150 dólares por un mes y 1200 dólares por acceso de por vida. Otros niveles de suscripción incluyen $300 por tres meses, $500 por seis meses y $700 por doce meses.

«Construido alrededor de una arquitectura modular, el RAT admite la expansión dinámica de la capacidad a través de complementos cifrados que pueden entregarse, cargarse, descargarse y actualizarse directamente desde su infraestructura de comando y control (C2)», dijo la empresa de ciberseguridad. dicho en un análisis del malware.

El autor del malware también anuncia un creador capaz de generar múltiples formatos de salida, incluidos JAR, EXE, APP, SH, BAT y VBS, lo que indica un intento de ayudar a los clientes potenciales a empaquetar el cliente a medida para diferentes entornos y escenarios de entrega.

La publicación del vendedor garantiza total sigilo en Windows y Linux, señalando que no hay elementos visibles de la interfaz de usuario ni entradas del escritorio. En macOS, sin embargo, el actor de amenazas incluye una advertencia de que ciertas funciones como la captura de pantalla y el control de entrada requieren «permisos de administrador otorgados por el usuario».

Ciberseguridad

Al visitar su sitio web, los usuarios son recibidos por un mensaje emergente que indica que la plataforma «proporciona herramientas de seguridad ofensivas destinadas exclusivamente a investigaciones de seguridad profesionales, pruebas de penetración autorizadas y entornos educativos controlados», advirtiéndoles que no las utilicen con «fines maliciosos, no autorizados o ilegales».

En total, el actor de amenazas ofrece cuatro herramientas:

  • Control Quima (también conocido como QuimaRAT), una herramienta de administración remota con 74 módulos de Windows y 46 de macOS y Linux
  • Constructor Quimaun conjunto de herramientas de creación y lanzamiento modular compatible con formatos de archivos XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL y CHM.
  • Cargador Quimaun servicio de entrega de carga útil de caché del navegador para preparar y entregar la carga útil de malware
  • Gotero Quimaun generador de carga útil HTML/SVG

Quima Loader, en particular, es digno de mención, ya que permite a un operador cargar un archivo EXE a través de un panel dedicado y seleccionar un formato de entrega (por ejemplo, HTA o LNK) y una plantilla de página de destino (por ejemplo, verificación CAPTCHA falsa o alertas de actualización de software), después de lo cual la herramienta genera un enlace de etapa que, cuando la víctima lo abre en el navegador, inicia la siguiente secuencia de acciones, según el desarrollador del malware:

  • Se carga la página de destino y la carga útil se recupera y se guarda en la memoria caché del navegador.
  • Aparece un botón Descargar en la página.
  • Al hacer clic en él, se guarda un «archivo de carga pequeño y limpio» en el que confía el navegador.
  • Target ejecuta el cargador, que lee la carga útil almacenada en caché.
  • La carga útil principal se ejecuta en el sistema, evitando al mismo tiempo las protecciones SmartScreen en Windows.

«Un RAT, una suite de creación, un cargador web y un cuentagotas HTML, cada uno construido en torno a lo que Windows ya confía», afirma el autor detrás de la suite Quima en su sitio web. «Rutas de ejecución nativas, recursos propiedad del sistema, resultados limpios. AV [antivirus] no ve nada inusual. El usuario tampoco.»

nivelazul análisis sugiere que QuimaRAT está organizado como un proyecto Java modular creado con Apache Maven, al tiempo que contiene bibliotecas nativas Java Native Access (JNA) integradas para Windows, Linux y macOS en varias arquitecturas. También decodifica y analiza un archivo de configuración interno necesario para la validación del entorno, la instalación persistente y la inicialización de C2.

«Estos componentes nativos permiten que RAT interactúe directamente con las API del sistema operativo de bajo nivel a través de código C/C++, lo que indica un soporte intencional para una amplia implementación multiplataforma», dijeron los investigadores Chen Aviani y Nikita Kazymirskyi.

Antes de la ejecución, el malware garantiza que solo se ejecute una instancia del troyano en la máquina infectada en un momento dado. Lo logra creando un archivo de bloqueo dentro del directorio temporal del sistema operativo y evitando que otros procesos lo utilicen simultáneamente. Si detecta que otra instancia RAT ya mantiene el bloqueo del archivo, finaliza la ejecución.

QuimaRAT está diseñado para determinar el nombre del sistema operativo actual, utilizándolo para dictar el siguiente curso de acción, incluida la evasión de entornos virtuales y de espacio aislado, el establecimiento de persistencia y el servicio de la carga útil principal. Además, admite la capacidad de ejecutar una carga útil integrada adicional o una aplicación señuelo junto con el proceso RAT principal si la funcionalidad, denominada Binder, está habilitada a través de la configuración.

Ciberseguridad

El malware configura la persistencia utilizando una variedad de métodos específicos del sistema operativo: claves de ejecución del registro, tareas programadas y la carpeta de inicio para Windows, entradas de inicio automático .desktop y tareas de reinicio crontab para Linux y un archivo plist de LaunchAgent para macOS.

Es más, el troyano incorpora un mecanismo opcional de actualización del host C2 basado en Pastebin que se controla mediante la configuración. Este enfoque permite al operador rotar o reemplazar dinámicamente la infraestructura C2 sin tener que reconstruir y redistribuir la carga útil.

El objetivo final de QuimaRAT es establecer comunicación con el servidor C2 a través de TCP (o alternativamente a través de WebSocket, TLS y HTTPS) para recibir y ejecutar comandos. Un componente de vigilancia integrado en el malware garantiza que el canal permanezca activo y se vuelva a conectar a él si se pierde el contacto con el servidor C2.

«QuimaRAT mantiene un indicador de estado de apagado interno que se utiliza para controlar si la RAT debe continuar realizando operaciones de red, reconexión, vigilancia y recuperación», dijeron los investigadores. «Este mecanismo permite a QuimaRAT detener las operaciones de reconexión, vigilancia y recuperación de comunicación después de activar el modo de apagado».

El malware admite una amplia gama de capacidades, incluida la ejecución remota de comandos, carga útil remota y entrega de complementos, robo de credenciales, persistencia, transferencia de archivos, manipulación del portapapeles y vigilancia con cámara web, lo que otorga al atacante un control integral sobre un sistema infectado.

Además de estas características convencionales presentes en la mayoría del malware RAT, QuimaRAT facilita la ejecución de shellcode sin archivos en hosts de Windows y un marco de comunicación resistente que permite el acceso persistente a hosts comprometidos.

«QuimaRAT debe verse como una plataforma Java RAT modular en lugar de un único implante estático», afirmó LevelBlue. «Los indicadores de ofuscación de clase ProGuard, la reubicación de Maven Shade, los símbolos de tiempo de ejecución preservados y los descifradores de cadenas sintéticas respaldan aún más la evaluación de que QuimaRAT está diseñado para rotar huellas dactilares estáticas sin cambiar su comportamiento central».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *