Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

В сети найден «конструктор», серийно изготовляющий вредоносы для всех основных ОС

Дата публикации: 08-07-2026 13:32:00

Исследователи компании LevelBlue выявили троянец, который оказался целым фреймворком для генерации новых вредоносов. Его авторы кокетливо делают вид, что это исследовательский инструмент.

Основное содержимое страницы с новостью.

08 Июля 2026 16:32 08 Июл 2026 16:32 |

В сети найден «конструктор», серийно изготовляющий вредоносы для всех основных ОС

Исследователи компании LevelBlue выявили троянец, который оказался целым фреймворком для генерации новых вредоносов. Его авторы кокетливо делают вид, что это исследовательский инструмент.

Всем достанется

Исследователи компании LevelBlue выявили новый троянец удалённого доступа (RAT) QuimaRAT, который может с равным успехом атаковать среды Windows, Linux и macOS.

Кроссплатформенный вредонос предлагается в даркнете по модели Malware-as-a-Service (MaaS), то есть, сдаётся в аренду. Стоимость «абонентской платы» варьируется от $150 в месяц до $1200 за перманентный доступ.

QuimaRAT написан целиком на Java и это обеспечивает ему широкую кроссплатформенность.

Авторы трояна-конструктора QuimaRAT кокетливо делают вид, что это исследовательский инструмент

«Построенная по модульному принципу, эта вредоносная программа поддерживает динамическое расширение функциональности с помощью зашифрованных плагинов, доставка, подключение от отключение которых осуществляется непосредственно из ее инфраструктуры управления и контроля (C2)», - говорится в публикации LevelBlue.

Авторы QuimaRAT также рекламируют возможность компилировать конечную «полезную нагрузку» в различных форматах - .jar, .exe, .app, .sh, .bat и .vbs - для различных сред и моделей доставки.

Помимо этого авторы гарантируют полную скрытность в средах Windows и Linux: дескать, никаких видимых интерфейсов или элементов рабочего стола нет. Под macOS, однако, реализация таких функций как захват экрана или перехват пользовательского ввода потребуют «административных привилегий, выданных пользователем».

Всё легально... Ну, почти

Если зайти на общедоступный сайт авторов QuimaRAT, то там пользователей встречает всплывающее сообщение, в котором говорится, что платформа «предоставляет инструменты для проведения наступательных операций в области кибербезопасности, предназначенные исключительно для профессиональных исследований, авторизованного тестирования на проникновение и контролируемых образовательных сред». Есть также и предупреждение о недопустимости использования программы в «злонамеренных, несанкционированных или незаконных целях». Кокетливое и абсолютно ложное заявление.

Всего авторы предлагают сразу четыре различных инструмента: помимо QuimaRAT (который на сайте именуется Quima Control), это Quima Builder - набор для компиляции вредоноса под конечные среды; Quima Loader - средство доставки «полезной нагрузки» через кэш браузеров, и Quima Dropper, генератор «полезной нагрузки» в форматах HTML/SVG.

Quima Loader позволяет оператору загрузить EXE-файл через специальную панель и выбрать формат доставки (например, HTA или LNK), а также шаблон целевой страницы (например, это может быть поддельная CAPTCHA или оповещение об обновлении ПО), после чего инструмент генерирует ссылку-загрузчик, которая при открытии жертвой в браузере запускает следующую последовательность действий, ведущую к установке и запуску вредоноса с обходом защитных инструментов, таких как SmartScreen в Windows.

Как выяснили эксперты LevelBlue, QuimaRAT - это модульный Java-проект, созданный с использованием Apache Maven, содержащий при этому встроенные библиотеки Java Native Access (JNA) для Windows, Linux и macOS на различных архитектурах. Он также декодирует и анализирует внутренний конфигурационный файл, необходимый для проверки среды, установки постоянного хранилища и инициализации контрольного сервера.

«Эти встроенные компоненты позволяют RAT напрямую взаимодействовать с низкоуровневыми API операционной системы через код на C/C++. Это свидетельствует о том, что разработчики стремились реализовать поддержку множества платформ».

Перед запуском вредонос удостоверяется, что в заражённой системе запущен только один её экземпляр. Для этого она создаёт файл блокировки (lock file) во временном каталоге операционной системы и предотвращает его одновременное использование другими процессами.

Если обнаруживается, что другой экземпляр троянца уже удерживает блокировку этого файла.

Определив операционную систему QuimaRAT выбирает дальнейшие действия - обход песочниц и виртуальных сред, обеспечение закрепления в системе и запуск основного компонента.

Если в конфигурации включена функция Binder, троян способен одновременно с основным процессом RAT запускать дополнительную полезную нагрузку или приложение-обманку.

Для обеспечения постоянного присутствия в системе вредонос использует различные механизмы, в зависимости от операционной системы: ключи реестра, запланированные задания и папку Startup в Windows, записи автозапуска .desktop и задания crontab, выполняемые при перезагрузке, в Linux, а также файл LaunchAgent plist в macOS.

Кроме того, троянец содержит механизм обновления адреса C2-сервера через Pastebin. Такой подход позволяет оператору динамически перенастраивать инфраструктуру командного сервера, оставляя конечный компонент нетронутым.

RAT-конструктор

Основная задача QuimaRAT - установить связь с контрольным сервером по протоколу TCP (или WebSocket, TLS и HTTPS) для получения и выполнения команд.

Во вредонос встроен компонент, отслеживающий активность канала связи и автоматически восстанавливающий соединение в случае его потери. Кроме того, QuimaRAT поддерживает индикатор отключения системы, который, деактивирует модули восстановления связи, когда система уходит в спящий режим, и восстанавливает их после переключения в нормальный режим работы системы.

Вредонос поддерживает широкий спектр возможностей, включая удалённое выполнение команд, удалённую доставку полезных нагрузок и плагинов, кражу учётных данных, закрепление в системе, передачу файлов, манипулирование содержимым буфера обмена и слежку через веб-камеру. В конечном счёте злоумышленник получает полный контроль над заражённой системой.

Это типичный для продвинутых RAT-троянцев арсенал, но сверх этого QuimaRAT поддерживает бесфайловое выполнение shell-кода в хостах Windows и использует отказоустойчивую систему связи, обеспечивающую постоянный доступ к скомпрометированным устройствам.

«QuimaRAT следует рассматривать как модульную Java-платформу для создания RAT, а не как отдельно взятый статичный имплант», - пишут исследователи LevelBlue. - «Обфускация уровня ProGuard, механизм переноса пространств имён Maven Shade, сохранённые символы времени выполнения и синтетические дешифраторы строк дополнительно подтверждают вывод о том, что QuimaRAT разработан таким образом, чтобы изменять статические сигнатуры без изменения своего основного поведения».

«MaaS-модель появилась не вчера и разработчики этих инструментов - давно не любители, - комментирует Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Как конструктор вредоносов QuimaRAT занимает очень прибыльную нишу, ориентированную на других профессионалов (если так уместно говорить о киберкриминале). Он вряд ли радикально изменит общий ландшафт угроз, но давление, которое с его помощью будут оказывать инфраструктуру целевых компаний, может оказаться весьма чувствительным».



Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1В сети найден «конструктор», серийно изготовляющий вредоносы для всех основных ОС0508-07-2026
2Android-зловред, который мимикрирует под сервис для поиска топлива, собирает данные со смартфонов0725-06-2026
3DLBI: мошенники атакуют безработных0522-06-2026
4DLBI: мошенники атакуют безработных0522-06-2026
5Мошенники создают поддельные сайты-радары атак БПЛА для имитации взлома личных кабинетов0729-06-2026
6Эксперты выявили 22 тысячи попыток заражения вредоносным ПО под видом сериалов Netflix0021-07-2020
7«Лаборатория Касперского» обнаружила многоступенчатую фишинговую атаку на производство РФ0708-07-2026
8CrySome RAT Campaign Turns a Fake Freight Document Into a Full Remote Access Breach0807-07-2026
9Россиян предупредили о схеме мошенничества с уведомлением о БПЛА-2627-06-2026
10Предназначенная для macOS малварь Gaslight обманывает ИИ-инструменты0726-06-2026

Классификация: Наука. Схожих патентов: 0. Схожих новостей: 10. Тональность: -2. Информативность: 7. Источник: etrade.cnews.ru.