Новое лицо старой угрозы: троян Webrat теперь маскируется под эксплойты для исследователей

В октябре была раскрыта кампания по распространению Webrat через репозитории на GitHub, активная как минимум с сентября. Чтобы привлечь жертв, злоумышленники использовали уязвимости, часто упоминаемые в отраслевых новостях и бюллетенях безопасности. В частности, они выдавали свой вредоносный код за эксплойты для следующих уязвимостей с высокими оценками по шкале CVSSv3: CVE-2025-59295 (8.8), CVE-2025-10294 (9.8) и CVE-2025-59230 (7.8). Это не первый случай, когда угрозовые акторы пытаются заманить исследователей безопасности подобной приманкой. Годом ранее они аналогичным образом воспользовались громкой уязвимостью RegreSSHion, для которой на тот момент не было рабочего концепта (Proof-of-Concept, PoC).

В рамках кампании Webrat злоумышленники предлагают как уязвимости без рабочего эксплойта, так и те, для которых он уже существует. Для создания видимости достоверности они тщательно оформляют репозитории, включая в описания детальную информацию об уязвимостях. Данные представлены в виде структурированных разделов, таких как обзор, спецификации уязвимых систем, руководства по установке и использованию эксплойта, а также меры по снижению рисков. Во всех изученных репозиториях описания имеют схожую структуру, характерную для отчетов, сгенерированных искусственным интеллектом, и предлагают почти идентичные советы по смягчению рисков. Это явно указывает на машинную генерацию текста.

Ссылка для скачивания архива в разделе установки ведет на защищенный паролем ZIP-файл, размещенный в том же репозитории. Пароль скрыт в названии одного из файлов внутри архива. Скачанный архив содержит четыре файла. Первый, с именем, содержащим пароль, является пустым. Второй файл, "payload.dll", представляет собой поврежденный исполняемый файл, не выполняющий полезных действий и служащий лишь для отвлечения внимания. Третий файл (например, "rasmanesc.exe") является основным вредоносным компонентом. Он выполняет эскалацию привилегий до уровня администратора, отключает защитник Windows (Windows Defender) для избежания обнаружения, а затем загружает и исполняет образец семейства Webrat с жестко заданного URL. Четвертый файл, "start_exp.bat", содержит команду запуска основного вредоносного файла, что повышает вероятность его исполнения пользователем.

Webrat представляет собой бэкдор (backdoor), предоставляющий злоумышленникам контроль над зараженной системой. Кроме того, он способен похищать данные из криптовалютных кошельков, учетных записей Telegram, Discord и Steam, а также выполнять шпионские функции. К ним относятся запись экрана, наблюдение через веб-камеру и микрофон, а также перехват нажатий клавиш (keylogging). Версия Webrat, обнаруженная в этой кампании, ничем не отличается от ранее задокументированных.

Ранее Webrat распространялся вместе с игровыми читами, кряками и патчами для легальных приложений. Теперь же троянец маскируется под эксплойты и концепты (PoC). Это указывает на попытку злоумышленников заразить специалистов по информационной безопасности и других пользователей, интересующихся данной тематикой. При этом любой компетентный специалист анализирует эксплойты и другое вредоносное ПО в контролируемой изолированной среде, не имеющей доступа к конфиденциальным данным, физическим веб-камерам или микрофонам. Более того, опытный исследователь легко распознает Webrat, так как он хорошо документирован, а текущая версия идентична предыдущим. Следовательно, приманка рассчитана в первую очередь на студентов и неопытных специалистов.

Группа угроз, стоящая за Webrat, теперь маскирует бэкдор не только под игровые читы и взломанный софт, но и под эксплойты и концепты (PoC). Это показывает, что они нацелены на исследователей, которые часто полагаются на открытые источники для поиска и анализа кода, связанного с новыми уязвимостями. Однако сам Webrat не претерпел значительных изменений по сравнению с прошлыми кампаниями. Эти атаки явно ориентированы на пользователей, которые запускают "эксплойт" прямо на своих рабочих машинах, игнорируя базовые протоколы безопасности. Данный случай служит напоминанием, что профессионалам в области кибербезопасности, особенно начинающим исследователям и студентам, необходимо сохранять бдительность при работе с эксплойтами и любыми потенциально вредоносными файлами. Чтобы предотвратить возможный ущерб рабочим и личным устройствам с конфиденциальной информацией, рекомендуется анализировать подобные файлы исключительно в изолированных средах, таких как виртуальные машины или песочницы (sandboxes). Эксперты также рекомендуют соблюдать общую осторожность при работе с кодом из открытых источников, всегда использовать надежные решения безопасности и никогда не добавлять программное обеспечение в исключения без веской причины.

URLs

• http://ezc5510min.temp.swtest.ru
• http://shopsleta.ru
• https://github.com/DebugFrag/CVE-2025-12596-Exploit
• https://github.com/DExplo1ted/CVE-2025-54106-POC
• https://github.com/FixingPhantom/CVE-2025-10294
• https://github.com/h4xnz/CVE-2025-10294-POC
• https://github.com/h4xnz/CVE-2025-55234-POC
• https://github.com/Hazelooks/CVE-2025-11499-Exploit
• https://github.com/lagerhaker539/CVE-2025-12595-POC
• https://github.com/modhopmarrow1973/CVE-2025-11833-LAB
• https://github.com/moegameka/CVE-2025-59230
• https://github.com/RedFoxNxploits/CVE-2025-10294-Poc
• https://github.com/rootreapers/CVE-2025-11499
• https://github.com/stalker110119/CVE-2025-59230/tree/main
• https://github.com/themaxlpalfaboy/CVE-2025-54897-LAB
• https://github.com/usjnx72726w/CVE-2025-11499-LAB
• https://github.com/usjnx72726w/CVE-2025-59295/tree/main

MD5

• 28a741e9fcd57bd607255d3a4690c82f
• 61b1fc6ab327e6d3ff5fd3e82b430315
• a13c3d863e8e2bd7596bac5d41581f6a