WebRAT малициозен софтвер се шири преку лажни експлоити за ранливости на GitHub

Малициозниот софтвер WebRAT сега се дистрибуира преку GitHub репозиториуми кои тврдат дека содржат proof-of-concept експлоити за неодамна објавени ранливости.

Претходно ширен преку пиратски софтвер и измами (cheats) за игри како Roblox, Counter Strike и Rust, WebRAT е backdoor со можности за кражба на информации кој се појави на почетокот на годината.

Според извештај на Solar 4RAYS од мај, WebRAT може да краде акредитиви за Steam, Discord и Telegram сметки, како и податоци од криптовалутни паричници. Исто така може да шпионира жртви преку веб-камери и да прави снимки од екранот.

Најмалку од септември, операторите започнале да го испорачуваат малициозниот софтвер преку внимателно изработени репозиториуми кои тврдат дека нудат експлоит за неколку ранливости што биле опфатени во медиумските извештаи. Меѓу нив се:

• CVE-2025-59295 – Прелевање на бафер базирано на heap во компонентата Windows MSHTML/Internet Explorer, кое овозможува извршување на произволен код преку специјално изработени податоци испратени преку мрежата.
• CVE-2025-10294 – Критично заобиколување на автентикација во приклучокот OwnID Passwordless Login за WordPress. Поради неправилна валидација на споделен таен клуч, неавтентицирани напаѓачи можеле да се најават како произволни корисници, вклучително и администратори, без акредитиви.
• CVE-2025-59230 – Ранливост за ескалација на привилегии (EoP) во услугата Windows Remote Access Connection Manager (RasMan). Локално автентициран напаѓач можел да искористи неправилна контрола на пристап за да ги ескалира привилегиите до SYSTEM ниво на засегнатите Windows инсталации.

Истражувачите за безбедност од Kaspersky откриле 15 репозиториуми што дистрибуираат WebRAT, сите со информации за проблемот, што наводно прави експлоитот и кои се достапните мерки за ублажување.

Поради начинот на кој е структурирана информацијата, Kaspersky смета дека текстот е генериран со користење на модел на вештачка интелигенција.

Малициозниот софтвер има повеќе методи за воспоставување перзистентност, вклучувајќи измени во Windows Registry, користење на Task Scheduler и вбризгување на самиот себе во случајни системски директориуми.

Истражувачите од Kaspersky наведуваат дека лажните експлоити се испорачуваат во форма на ZIP-архива заштитена со лозинка, која содржи празен фајл со лозинката како негово име, оштетена DLL датотека што служи како мамка, batch-фајл што се користи во извршната верига и главниот dropper со име rasmanesc.exe.

Според аналитичарите, dropper-от ги ескалира привилегиите, го оневозможува Windows Defender, а потоа го презема и извршува WebRAT од однапред вграден (hardcoded) URL.

Kaspersky наведува дека варијантата на WebRAT што се користи во оваа кампања не се разликува од претходно документираните примероци и ги има истите можности како оние опишани во претходните извештаи.

Користењето лажни експлоити на GitHub за намамување на несомничави корисници да инсталираат малициозен софтвер не е нова тактика, бидејќи таа е обемно документирана и во минатото [1, 2, 3, 4]. Поново, заканувачки актери промовираа лажен „LDAPNightmare“ експлоит на GitHub со цел ширење на малициозен софтвер за кражба на информации.

Сите малициозни GitHub репозиториуми поврзани со WebRAT кампањата што ги откри Kaspersky се отстранети. Сепак, програмерите и ентузијастите за информатичка безбедност треба да бидат внимателни со изворите што ги користат, бидејќи заканувачките актери можат да објават нови мамки под различни имиња на издавачи.

Општото правило при тестирање експлоити или код што потекнува од потенцијално недоверлив извор е тие да се извршуваат во контролирана, изолирана околина.

Извори:

• Bleeping Computer – WebRAT malware spread via fake vulnerability exploits on GitHub Bleeping Computer