Webrat маскируется под эксплойты и атакует специалистов по ИБ
3 мин
41
Вредоносное ПО Webrat распространяется через репозитории GitHub. В качестве приманки злоумышленники использовали уязвимости, которые активно обсуждались в бюллетенях безопасности и новостях. Вредонос маскировали под эксплойты к уязвимостям с высоким показателем CVSSv3. Среди них — CVE-2025-59295 с показателем 8,8, CVE-2025-10294 (9,8) и CVE-2025-59230 (7,8), выяснили специалисты «Лаборатории Касперского».
Это бэкдор для удалённого управления заражённой системой. Умеет красть данные криптокошельков, аккаунтов в Telegram, Discord и Steam. Выполняет шпионские функции: запись экрана, слежка через веб-камеру и микрофон, регистрация нажатий клавиш.
Под атакой оказались исследователи ИБ, которые часто ищут и анализируют код, связанный с новыми уязвимостями, в открытых источниках. Информация оформлена в виде структурированных разделов. В них есть обзор с общими данными об уязвимости и её последствиях. Указаны характеристики системы, где можно эксплуатировать уязвимость. Есть инструкции по скачиванию, установке и использованию эксплойта. Добавлены даже меры по снижению рисков.
Во всех исследованных репозиториях описания похожи по структуре. Это типично для отчётов об уязвимостях, которые генерируют нейросети. Советы по снижению рисков тоже похожие, хотя формулировки немного отличаются. Ссылка в описании ведёт на архив в том же репозитории. Архив защищён паролем, который спрятан в имени одного из файлов.
Всего в архиве четыре файла. Первый пустой, но его имя содержит пароль от архива. Второй файл — приманка, повреждённый PE-файл. Файл ничего не делает, но отвлекает внимание от настоящей угрозы. Третий — основной вредонос. Он повышает свои привилегии до уровня администратора, отключает Windows Defender, чтобы его не засекли, и загружает с заданного в коде адреса образец семейства Webrat. Четвёртый содержит команду для запуска основного вредоносного файла. Это повышает шансы, что пользователь его запустит.
Атаки рассчитаны на пользователей, которые запускают эксплойт прямо на своей машине и пренебрегают базовыми мерами предосторожности.
Кампания по распространению Webrat через репозитории GitHub была выявлена в октябре 2025 года. По мнению кибербез-специалистов, сам Webrat особо не изменился по сравнению с прошлыми кампаниями. Похожим образом злоумышленники в 2024 году воспользовались резонансной уязвимостью regreSSHion, для которой тогда не было рабочего эксплойта. В кампании Webrat используют уязвимости как с работающим эксплойтом, так и без него. Чтобы вызвать доверие у жертвы, репозитории тщательно подготовили. В описание включили подробную информацию об уязвимостях. В начале 2025 года исследователи кибербеза обнаружили Webrat, которое целилось в обычных пользователей и пряталось под читы для популярных игр вроде Rust, Counter-Strike и Roblox, а ещё под взломанные версии софта.
