Эксперты по кибербезопасности обнаружили новый вредонос Webrat, распространяемый по модели Malware-as-a-Service. Злоумышленники маскируют его под пиратские версии игр, читы и программы для взлома. Вредонос обладает расширенными функциями: он крадет данные из браузеров, аккаунты Steam и Discord, криптокошельки, а также позволяет злоумышленникам удаленно управлять зараженной системой в реальном времени.
Описание
Как распространяется угроза
Webrat чаще всего распространяется через YouTube-видео, где злоумышленники демонстрируют работу "читов" или "исправлений" для заблокированных в РФ приложений, таких как Discord. Жертвам предлагают скачать защищенный паролем архив, ссылка на который размещается в описании или комментариях. Другие операторы распространяют вредонос через GitHub под видом полезных утилит.
Функционал Webrat
Вредонос собирает информацию о системе, включая характеристики ПК, и отправляет ее на сервер злоумышленников. Он умеет скрытно закрепляться в системе через реестр и планировщик задач, а также поддерживает шифрование данных для скрытия своей активности.
Среди ключевых возможностей Webrat:
- Кража данных: токены Discord, Steam, Telegram, логины и пароли из браузеров, данные криптокошельков (Exodus, Atomic Wallet, Electrum и др.).
- Шпионаж: запись экрана, слежка через веб-камеру и микрофон с помощью утилиты ffmpeg.
- Keylogger: фиксация всех нажатий клавиш и активных окон.
- Удаленное управление: злоумышленники могут в реальном времени контролировать компьютер жертвы.
Панель управления и сборка вредоноса
Злоумышленники используют веб-панель для управления зараженными системами. В ней отображается количество жертв, их данные и функционал для удаленного управления. Также доступен builder для настройки параметров вредоноса перед распространением, включая способы автозапуска и количество копий на зараженном ПК.
Актуальная угроза
Webrat продолжает развиваться: с января 2025 года вышло несколько версий, каждая с новыми функциями. Эксперты предупреждают, что вредонос опасен не только для геймеров, но и для организаций, использующих пиратское ПО.
Индикаторы компрометации
Domains
- sa1at.ru
- webr.at
- webrat.in
- webrat.ru
- webrat.top
- websalat.top
Onion Domains
- webrat7e3wvk4mdh4mkw4p7yzty5hwipvmumdxiydjayfhyo2knsdcad.onion
MD5
- 57319db8cc01e4aa93445e31908f52a0
- 5a6f5417e7756bdc0ad7fb9d589aba73
- 609d54e0b390c83d9bcd13ac912de7aa
- 73267b19ea5a39d59da18a32adf62bdf
- c37d3d5a7d0d408aa346f2a1d58e48b4
- d9e1d9613a3b7e2a3c65b1ce723ec842
- e71b1d05f7d3cc7228019189875fb9bb
SHA1
- 0d3c9a9951155a6fbffe271710c2cc67e79b0806
- 146b163d7eda0cc38a4902bb1f6f90730d07008e
- 14dbc66616f11d3ff67d7f0f965b3793fe81a23d
- 487ff7475417430edcfa6d0b9ccb935e7208add1
- 75b83a91dccf4a545c8fc07f4485501107ed2da4
- ca72fc8663b2c4948db5fe1b8c11038224c7f424
- d1ca14d7e5dff4c7175766bd6ef457d1d49e6b38
SHA256
- 00697ccbc599b6c6ef599f228ab0060911dc18e45b0011f9acad7e40ec0c356d
- 0ceea9fce4285f11a5c0a7a789b5f031cb9baab5b4c73318f70dc07b10fa57e0
- 7b896bf49ab304ca7cd7408a38d64f573765df9f1c157ef274ad50d18c247816
- a08a4e88bbc4752b8d06b117f2ac691be0d73d8bd8276204b16f6fb486313b28
- e8b65d83ead1112fa3a667597e280c804c0d7b2f3ebf92b80b31378acdf81bdd
- fa35dfe91fcef8b7ec31d93301045059992352fe64c0fd1af0dd29ffd5ad2d2c
- fd36522c45bed41c45461497f91697bf673baad8ff5b89ae84d9857694ec8326
