QuimaRAT Java Baru: Malware MaaS Multiplatform untuk Windows, Linux, dan macOS
Para peneliti keamanan siber baru-baru ini mengungkap keberadaan QuimaRAT, sebuah remote access trojan (RAT) berbasis Java yang dirancang untuk menyerang sistem Windows, Linux, dan macOS secara bersamaan. Malware ini dipasarkan dalam model malware-as-a-service (MaaS), memungkinkan pelanggan untuk menyewa akses dengan harga mulai dari 150 USD untuk satu bulan hingga 1.200 USD untuk akses seumur hidup.
Fitur dan Model Berlangganan QuimaRAT
Berdasarkan analisis dari perusahaan keamanan LevelBlue, QuimaRAT dibangun dengan arsitektur modular yang mendukung ekspansi kemampuan secara dinamis lewat plugin terenkripsi. Plugin ini dapat dikirim, dimuat, dibongkar, dan diperbarui langsung dari infrastruktur command-and-control (C2) milik operatornya.
Selain itu, pembuat malware menyediakan builder yang mampu menghasilkan berbagai format file output seperti JAR, EXE, APP, SH, BAT, dan VBS. Hal ini memudahkan pelanggan untuk mengemas klien malware yang disesuaikan dengan lingkungan dan metode pengiriman yang berbeda.
Penjual mengklaim bahwa QuimaRAT beroperasi secara stealth penuh di Windows dan Linux tanpa menampilkan antarmuka pengguna atau entri desktop. Namun, di macOS, beberapa fitur seperti pengambilan layar dan kontrol input membutuhkan izin admin yang diberikan pengguna.
Empat Alat Utama dalam Ekosistem QuimaRAT
- Quima Control (QuimaRAT): Alat administrasi jarak jauh dengan 74 modul untuk Windows dan 46 modul untuk macOS dan Linux.
- Quima Builder: Toolkit modular untuk membangun dan meluncurkan file dengan dukungan berbagai format seperti XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL, dan CHM.
- Quima Loader: Layanan pengiriman payload melalui cache browser untuk menyiapkan dan mengantarkan malware.
- Quima Dropper: Generator payload berbasis HTML/SVG.
Quima Loader menjadi sorotan karena memungkinkan operator mengunggah file EXE melalui panel khusus, memilih format pengiriman seperti HTA atau LNK, dan template halaman pendaratan palsu seperti CAPTCHA atau pemberitahuan pembaruan perangkat lunak. Setelah korban membuka tautan yang dihasilkan, urutan berikut terjadi:
- Halaman pendaratan dimuat dan payload disimpan di cache browser.
- Tombol unduh muncul di halaman.
- Pengguna mengunduh file loader kecil yang dianggap aman oleh browser.
- File loader dijalankan dan membaca payload yang tersimpan di cache.
- Payload utama dieksekusi di sistem, berhasil melewati perlindungan SmartScreen di Windows.
Menurut penjual, seluruh rangkaian alat ini menggunakan jalur eksekusi native dan sumber daya sistem yang sudah dipercaya Windows sehingga antivirus dan pengguna tidak mencurigai apapun.
Analisis Teknis dan Persistensi Multi-OS
LevelBlue menjelaskan QuimaRAT merupakan proyek modular berbasis Java yang dikembangkan menggunakan Apache Maven. Malware ini menyertakan pustaka Java Native Access (JNA) untuk Windows, Linux, dan macOS pada berbagai arsitektur. File konfigurasi internal yang didekode dan diparsing berperan penting untuk validasi lingkungan, instalasi persistence, dan inisialisasi C2.
"Komponen native ini memungkinkan RAT untuk langsung berinteraksi dengan API tingkat rendah sistem operasi melalui kode C/C++, menandakan dukungan yang disengaja untuk peluncuran multi-platform secara luas," ujar peneliti Chen Aviani dan Nikita Kazymirskyi.
Sebelum dijalankan, QuimaRAT memeriksa dan memastikan hanya satu instance trojan yang aktif dengan membuat file kunci di direktori sementara OS. Jika instance lain sudah berjalan, eksekusi dihentikan.
Malware ini mengenali nama sistem operasi yang berjalan untuk menentukan tindakan selanjutnya, termasuk menghindari lingkungan sandbox dan virtual, menetapkan persistensi, dan menjalankan payload utama. QuimaRAT juga mendukung fitur "Binder" yang memungkinkan eksekusi payload tambahan atau aplikasi umpan bersamaan dengan proses utama.
Metode persistensi yang digunakan berbeda-beda sesuai OS:
- Windows: Registry Run keys, Scheduled Tasks, dan Startup folder.
- Linux: Entri autostart .desktop dan tugas crontab untuk reboot.
- macOS: File LaunchAgent plist.
Selain itu, QuimaRAT memiliki mekanisme pembaruan host C2 berbasis Pastebin yang dikendalikan melalui konfigurasi. Ini memungkinkan operator untuk mengganti server C2 secara dinamis tanpa perlu membangun ulang dan mendistribusikan kembali payload.
Komunikasi dan Fungsi Lengkap Malware
Tujuan utama QuimaRAT adalah membangun komunikasi dengan server C2 menggunakan protokol TCP, WebSocket, TLS, atau HTTPS untuk menerima dan menjalankan perintah. Malware juga dilengkapi komponen watchdog yang menjaga agar koneksi tetap aktif dan otomatis menyambung kembali jika terputus.
"QuimaRAT memiliki flag internal untuk mengatur apakah RAT harus terus melakukan operasi jaringan, reconnect, watchdog, dan pemulihan komunikasi. Mekanisme ini memungkinkan malware berhenti melakukan aktivitas tersebut saat mode shutdown diaktifkan," jelas para peneliti.
Fitur QuimaRAT meliputi:
- Eksekusi perintah jarak jauh
- Pengiriman payload dan plugin secara remote
- Pencurian kredensial
- Persistensi di sistem korban
- Transfer file
- Manipulasi clipboard
- Pengawasan webcam
- Eksekusi shellcode tanpa file di Windows
- Kerangka komunikasi yang tangguh untuk akses berkelanjutan
LevelBlue menegaskan bahwa QuimaRAT harus dianggap sebagai platform RAT modular berbasis Java, bukan sekadar implant statis. Penggunaan teknik obfuscation ProGuard, relokasi Maven Shade, simbol runtime yang terjaga, dan dekripsi string sintetis mendukung penilaian bahwa malware ini mampu mengganti "sidik jari" statisnya tanpa mengubah perilaku inti.
Analisis Redaksi
Menurut pandangan redaksi, kemunculan QuimaRAT menandai evolusi signifikan dalam ekosistem malware MaaS, terutama dengan kemampuan multiplatform yang sangat luas. Dengan dukungan persistent khusus OS dan mekanisme komunikasi yang canggih, QuimaRAT membuka peluang besar bagi pelaku kejahatan siber untuk menjangkau target di berbagai sistem tanpa harus mengembangkan malware terpisah.
Faktor modularitas dan penggunaan plugin terenkripsi juga memperumit usaha deteksi dan mitigasi oleh solusi keamanan tradisional. Ditambah lagi, metode pengiriman payload yang memanfaatkan cache browser dan file loader yang dipercaya meningkatkan risiko infeksi tanpa disadari pengguna.
Ke depan, pemantauan terhadap varian QuimaRAT dan infrastruktur C2-nya harus menjadi prioritas bagi tim keamanan siber. Organisasi perlu memperkuat deteksi perilaku anomali lintas platform dan meningkatkan edukasi pengguna soal ancaman metode pengelabuan seperti yang digunakan Quima Loader.
Untuk detail lengkap dan analisis teknis lebih lanjut, Anda bisa membaca laporan asli dari The Hacker News serta mengikuti pembaruan dari portal keamanan ternama lainnya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0