Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Se inaugura en Dresde la mayor fábrica de semiconductores del mundo

Nuevo QuimaRAT MaaS basado en Java diseñado para ejecutarse en Windows, Linux y macOS

La falla de Opera GX permite que los mods se instalen automáticamente en sitios maliciosos y roben datos de las páginas visitadas

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Nuevo QuimaRAT MaaS basado en Java diseñado para ejecutarse en Windows, Linux y macOS
Identidad

Nuevo QuimaRAT MaaS basado en Java diseñado para ejecutarse en Windows, Linux y macOS

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 6, 2026No hay comentarios6 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Investigadores de ciberseguridad han informado sobre un nuevo troyano de acceso remoto (RAT) basado en Java llamado QuimaRAT que puede apuntar a entornos Windows, Linux y macOS.

Según LevelBlue, el malware multiplataforma se promociona bajo un modelo de malware como servicio (MaaS), con costos que van desde 150 dólares por un mes hasta 1200 dólares por acceso de por vida. Otros niveles de suscripción incluyen 3 meses por $300, 6 meses por $500 y 12 meses por $700.

«Construido alrededor de una arquitectura modular, RAT admite mejoras dinámicas a través de complementos cifrados que pueden entregarse, cargarse, descargarse y actualizarse directamente desde la infraestructura de comando y control (C2)», dijo la firma de ciberseguridad en su análisis del malware.

Los autores de malware también anuncian un creador que puede generar múltiples formatos de salida, incluidos JAR, EXE, APP, SH, BAT y VBS, lo que indica un intento de ayudar a los clientes potenciales a empaquetar sus clientes para diferentes entornos y escenarios de entrega.

La publicación del vendedor señala que garantiza un sigilo total en Windows y Linux, sin elementos visibles de la interfaz de usuario ni entradas en el escritorio. Sin embargo, macOS incluye una advertencia para los actores de amenazas de que ciertas funciones, como la captura de pantalla y los controles de entrada, requieren «privilegios de administrador otorgados por el usuario».

Cuando los usuarios visitan el sitio web de la empresa, reciben un mensaje emergente que dice que la plataforma «ofrece investigaciones de seguridad profesionales, pruebas de penetración acreditadas y herramientas de seguridad ofensivas destinadas únicamente a entornos educativos controlados» y les advierte que no la utilicen con «fines maliciosos, no autorizados o ilegales».

El atacante proporciona un total de cuatro herramientas.

Quima Control (también conocido como QuimaRAT), una herramienta de administración remota con 74 módulos de Windows y 46 módulos de macOS y Linux Quima Builder, un conjunto de herramientas de creación y lanzamiento modular que admite formatos de archivos XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL y CHM Quima Loader, un servicio de entrega de carga útil de caché del navegador para preparar y entregar cargas útiles de malware Quima Dropper; Generador de carga útil HTML/SVG

Cabe destacar Quima Loader. Los operadores pueden cargar archivos EXE desde un panel dedicado y seleccionar el formato de entrega (como HTA o LNK) y la plantilla de la página de destino (como una verificación CAPTCHA falsa o una alerta de actualización de software). Luego, la herramienta genera un enlace de etapa que, según los desarrolladores de malware, inicia la siguiente serie de acciones cuando la víctima abre este enlace en su navegador.

La página de destino se carga y la carga útil se recupera y se guarda en la memoria caché del navegador. Aparecerá un botón Descargar en la página. Al hacer clic aquí se guardará un «archivo de carga pequeño y limpio» en el que su navegador confiará. El objetivo ejecuta el cargador y lee la carga útil almacenada en caché. La carga útil principal se ejecuta en el sistema, sin pasar por la protección SmartScreen en Windows.

«El RAT, el paquete de creación, el cargador web y el cuentagotas HTML se basan en lo que Windows ya confía», afirman los desarrolladores de la suite Quima en su sitio web. «Rutas de ejecución nativas, recursos propios del sistema, resultados limpios. Los antivirus (AV) no ven nada inusual. Los usuarios tampoco».

El análisis de LevelBlue sugiere que QuimaRAT está estructurado como un proyecto Java modular creado con Apache Maven, al tiempo que incorpora bibliotecas nativas de Java Native Access (JNA) para Windows, Linux y macOS en una variedad de arquitecturas. También decodifica y analiza los archivos de configuración internos necesarios para la validación del entorno, la instalación persistente y la inicialización de C2.

«Estos componentes nativos permiten que RAT interactúe directamente con las API del sistema operativo de bajo nivel a través de código C/C++, lo que demuestra un soporte intencional para una amplia implementación multiplataforma», dijeron los investigadores Chen Aviani y Nikita Kazymirskyi.

Antes de ejecutarse, el malware garantiza que solo se esté ejecutando una instancia del troyano en la máquina infectada en un momento dado. Lo logra creando un archivo de bloqueo en el directorio temporal del sistema operativo, lo que evita que otros procesos utilicen el archivo al mismo tiempo. Finaliza la ejecución cuando detecta que otra instancia RAT ya mantiene un bloqueo en el archivo.

QuimaRAT está diseñado para determinar el nombre del sistema operativo actual y usarlo para dirigir las siguientes acciones, como evitar entornos sandbox o virtuales, establecer persistencia y servir la carga útil principal. Además, la capacidad de ejecutar cargas útiles integradas adicionales o aplicaciones señuelo junto con el proceso RAT principal también es compatible si la configuración habilita una función denominada Binder.

El malware utiliza una variedad de métodos específicos del sistema operativo para establecer la persistencia: claves de ejecución del registro, tareas programadas y carpetas de inicio en Windows, entradas de inicio automático .desktop y tareas de reinicio crontab en Linux y el archivo plist LaunchAgent en macOS.

Además, el troyano incluye un mecanismo opcional de actualización del host C2 basado en Pastebin controlado por configuración. Este enfoque permite a los operadores rotar o reemplazar dinámicamente la infraestructura C2 sin tener que reconstruir y redistribuir cargas útiles.

El objetivo final de QuimaRAT es establecer comunicación con el servidor C2 vía TCP (o vía WebSocket, TLS, HTTPS) para recibir y ejecutar comandos. Un componente de vigilancia integrado en el malware garantiza que el canal permanezca activo y se vuelva a conectar incluso si se pierde la conexión con el servidor C2.

«QuimaRAT mantiene indicadores de estado de apagado internos que se utilizan para controlar si el RAT continúa con las operaciones de red, reconexión, vigilancia y recuperación», dijeron los investigadores. «Este mecanismo permite a QuimaRAT detener las operaciones de reconexión, vigilancia y recuperación de comunicación después de que se activa el modo de apagado».

El malware admite una amplia gama de funciones, incluida la ejecución remota de comandos, carga útil remota y entrega de complementos, robo de credenciales, persistencia, transferencia de archivos, manipulación del portapapeles y monitoreo de cámaras web, lo que brinda a los atacantes un control integral sobre los sistemas infectados.

Además de estas características tradicionales presentes en la mayoría del malware RAT, QuimaRAT facilita la ejecución de shellcode sin archivos en hosts de Windows y un marco de comunicación resistente que permite el acceso persistente a hosts comprometidos.

«QuimaRAT debe verse como una plataforma Java RAT modular en lugar de un único implante estático», dijo LevelBlue. «Los indicadores de ofuscación de clase ProGuard, la reubicación de Maven Shade, los símbolos de tiempo de ejecución preservados y las capacidades de decodificación de cadenas sintéticas respaldan aún más nuestra evaluación de que QuimaRAT está diseñado para rotar huellas dactilares estáticas sin cambiar su comportamiento principal».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleLa falla de Opera GX permite que los mods se instalen automáticamente en sitios maliciosos y roben datos de las páginas visitadas
Next Article Se inaugura en Dresde la mayor fábrica de semiconductores del mundo
corp@blsindustriaytecnologia.com
  • Website

Related Posts

La falla de Opera GX permite que los mods se instalen automáticamente en sitios maliciosos y roben datos de las páginas visitadas

julio 6, 2026

La nueva tecnología SkillCloak permite que las habilidades de los agentes maliciosos de IA evadan los escáneres estáticos

julio 6, 2026

Agencia del gobierno de EE.UU. paga a Kairos 1 millón de dólares por caso de robo de datos y extorsión

julio 4, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Se inaugura en Dresde la mayor fábrica de semiconductores del mundo

Nuevo QuimaRAT MaaS basado en Java diseñado para ejecutarse en Windows, Linux y macOS

La falla de Opera GX permite que los mods se instalen automáticamente en sitios maliciosos y roben datos de las páginas visitadas

El telescopio Euclides descubre un antiguo quásar en el universo temprano

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.