Banner E-Learning IT-Sicherheit
Free

QuimaRAT: Java-Trojaner als Baukasten für drei Betriebssysteme : Die Malware-as-a-Service-Plattform zielt auf Windows, Linux und macOS zugleich

Mit QuimaRAT wird kein einzelner Schadcode angeboten, sondern eine modulare Plattform für Fernzugriff, Nachladen und Tarnung. Die Java-basierte Malware bringt Builder, Loader und Dropper mit und nutzt gezielt legitime Systemmechanismen, um auf Windows, Linux und macOS Fuß zu fassen.

Bild: KI-generiert

LevelBlue warnt vor einem neuen Remote Access Trojaner (RAT), der von Haus aus plattformübergreifend angelegt ist. QuimaRAT läuft auf Windows, Linux und macOS und wird als Malware-as-a-Service (MaaS) vermarktet. Die Preise reichen laut Analyse mehrfach gestaffelt von 150 US-Dollar für einen Monat bis 1.200 Dollar für lebenslangen Zugriff.

Der Anbieter stellt die Plattform nach außen als Werkzeug für professionelle Sicherheitsforschung, autorisierte Penetrationstests und kontrollierte Schulungsumgebungen dar. Zugleich bewirbt er Tarnung und operative Funktionen, die deutlich auf Missbrauch ausgelegt sind. Für Windows und Linux verspricht der Verkäufer vollständige Transparenz ohne sichtbare Oberfläche oder Desktop-Einträge. Für macOS nennt er Einschränkungen: Funktionen wie Bildschirmaufnahme oder Eingabekontrolle erfordern dort vom Nutzer erteilte Administratorrechte.

Vom RAT zum kompletten Angriffswerkzeug

Die Plattform besteht aus vier Komponenten:

  • Quima Control alias QuimaRAT: Fernadministrationstool mit 74 Windows-Modulen sowie 46 macOS- und Linux-Modulen
  • Quima Builder: modularer Builder und Launcher mit Unterstützung für XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL und CHM
  • Quima Loader: Dienst zur Payload-Auslieferung über den Browser-Cache
  • Quima Dropper: Generator für HTML- und SVG-Payloads

Besonders auffällig ist Quima Loader. Damit kann ein Angreifer die eigentliche Schadsoftware vorbereiten, ohne sie direkt an das Opfer zu schicken. Zuerst lädt er eine EXE-Datei in das Bedienpanel hoch. Danach wählt er aus, wie der Angriff beim Opfer ankommen soll, zum Beispiel als HTA- oder LNK-Datei. Außerdem kann er eine täuschend echte Webseite auswählen, etwa eine gefälschte CAPTCHA-Abfrage oder einen Hinweis auf ein angebliches Software-Update.

Aus diesen Angaben erzeugt Quima Loader anschließend einen Link. Öffnet das Opfer diesen Link im Browser und folgt den Anweisungen auf der Seite, wird der weitere Angriff gestartet.

Der Ablauf ist laut Malware-Entwickler so angelegt:

  • Die Landingpage wird geladen, und die Payload wird abgerufen und im Browser-Cache gehalten.
  • Ein Download-Button erscheint auf der Seite.
  • Ein Klick speichert eine „kleine, saubere Loader-Datei“, der der Browser vertraut.
  • Das Ziel führt den Loader aus, der die zwischengespeicherte Payload liest.
  • Die Haupt-Payload wird auf dem System ausgeführt und umgeht dabei SmartScreen-Schutzmechanismen unter Windows.

Der Autor beschreibt den Ansatz selbst sehr offen: „Ein RAT, eine Builder-Suite, ein Web-Loader und ein HTML-Dropper – alle darauf ausgelegt, das zu nutzen, dem Windows ohnehin vertraut.“ Gemeint ist: Die Suite arbeitet mit Dateitypen, Ausführungswegen und Systemressourcen, die in Windows-Umgebungen als normal gelten. Genau dadurch soll der Angriff weniger verdächtig erscheinen.

Java-Basis mit nativen Systemzugriffen

Technisch ist QuimaRAT laut LevelBlue als modulares Java-Projekt mit Apache Maven aufgebaut. Eingebettete Bibliotheken für Java Native Access (JNA) ermöglichen den Zugriff auf native Funktionen von Windows, Linux und macOS in verschiedenen Prozessorarchitekturen. Die Analysten Chen Aviani und Nikita Kazymirskyi erklären: „Diese nativen Komponenten ermöglichen es dem RAT, über C/C++-Code direkt mit Low-Level-Schnittstellen des Betriebssystems zu interagieren.“

Damit verbindet die Malware zwei Eigenschaften: Sie nutzt Java, um grundsätzlich plattformübergreifend einsetzbar zu sein, und greift zugleich auf spezielle Funktionen der jeweiligen Betriebssysteme zu. So kann QuimaRAT auf Windows, Linux und macOS gezielt Aufgaben ausführen, die über reinen Java-Code schwerer oder gar nicht möglich wären.

Vor der Ausführung prüft QuimaRAT, ob bereits eine Instanz läuft. Dazu legt der Trojaner eine Lock-Datei im temporären Verzeichnis des Betriebssystems an. Wird eine bestehende Instanz erkannt, beendet sich der Prozess. Anschließend erkennt die Malware das Betriebssystem und entscheidet darüber, welche Schritte folgen: Sandbox- und Virtualisierungsprüfung, Persistenz, Start der Haupt-Payload oder zusätzliche eingebettete Programme. Eine Binder-Funktion kann zudem eine weitere Payload oder eine Täuschanwendung parallel zum RAT-Prozess ausführen.

Persistenz, C2-Rotation und Fernsteuerung

Damit QuimaRAT auch nach einem Neustart aktiv bleibt, richtet sich die Malware fest im System ein. Dafür nutzt sie je nach Betriebssystem andere Wege. Unter Windows kann sie sich zum Beispiel über Registry-Einträge, geplante Aufgaben oder den Autostart-Ordner starten lassen. Unter Linux nutzt sie Autostart-Dateien oder Crontab-Aufgaben, die beim Neustart ausgeführt werden. Unter macOS kann sie eine LaunchAgent-Datei anlegen, über die Programme automatisch gestartet werden.

Nach der Installation nimmt QuimaRAT Kontakt zu einem Command-and-Control-Server (C2) auf. Über diesen Server erhält die Malware Befehle und kann Daten zurücksenden. Die Verbindung läuft vor allem über das Netzwerkprotokoll TCP, kann aber auch über WebSocket, TLS oder HTTPS erfolgen. Zusätzlich kann die Adresse des C2-Servers über Pastebin aktualisiert werden. So kann der Angreifer seine Infrastruktur austauschen, ohne die Malware neu zu verteilen.

Ein Watchdog überwacht die Verbindung zum C2-Server. Bricht sie ab, versucht die Malware, sie wiederherzustellen. LevelBlue beschreibt außerdem einen internen Abschaltstatus. Damit kann gesteuert werden, ob QuimaRAT weiter kommunizieren, sich erneut verbinden oder Wiederherstellungsfunktionen ausführen soll. Das zeigt: Die Plattform ist nicht nur auf schnellen Datendiebstahl ausgelegt, sondern auf möglichst dauerhaften Zugriff auf kompromittierte Systeme.

Warum QuimaRAT Verteidiger fordert

Die Funktionsliste ist breit: Befehlsausführung aus der Ferne, Nachladen von Plugins und Payloads, Diebstahl von Zugangsdaten, Persistenz, Dateiübertragung, Manipulation der Zwischenablage und Webcam-Überwachung. Unter Windows kommt dateilose Shellcode-Ausführung hinzu.

LevelBlue sieht QuimaRAT deshalb nicht als einzelnen, festen Schadcode, sondern als modulare Java-Plattform für Fernzugriff. Das ist wichtig, weil die Malware leicht verändert werden kann. Hinweise auf Verschleierung, umbenannte Programmteile und verschlüsselte Zeichenketten zeigen: Die äußere Form von QuimaRAT lässt sich immer wieder anpassen, ohne dass sich das eigentliche Verhalten stark ändert.

Für die Abwehr bedeutet das: Es reicht nicht, nur nach bekannten Dateinamen, Hashwerten oder festen Signaturen zu suchen. Solche Merkmale können Angreifer vergleichsweise leicht austauschen. Wichtiger ist es, das Verhalten im System zu erkennen. Dazu zählen ungewöhnliche Java-Prozesse, neue oder verdächtige Autostart-Einträge, Verbindungen zu C2-Servern, Payloads aus dem Browser-Cache und auffällige Zugriffe auf native Funktionen des Betriebssystems.