Специалисты по безопасности, охотящиеся за PoC (Proof-of-Concept) и кодом эксплойтов на GitHub, вскоре могут попасть в ловушку, поскольку злоумышленники перенаправляют на них известный RAT (Remote Access Trojan).
Исследователи обнаружили скрытую кампанию, в которой троян Webrat, известный уже несколько месяцев тем, что скрывается внутри игровых читов и взломанного программного обеспечения, теперь выдает себя за репозитории PoC-эксплойтов на GitHub, чтобы обмануть ничего не подозревающих исследователей в области безопасности.
Хитрая приманка и неожиданная цель отличают эту кампанию от типичных атак по распространению вредоносного ПО.
Аналитики безопасности из «Лаборатории Касперского» обнаружили эту эволюцию, когда злоумышленники загружали, казалось бы, легитимный код эксплойтов уязвимостей, в комплекте со структурированной документацией, только для того, чтобы заманить цели на загрузку бэкдора.
От игровых читов к эксплойтам GitHub
Webrat — не новинка. Он имеет историю сокрытия на виду под видом знакомых приманок, таких как пакеты игровых читов (включая Rust, Counter-Strike и Roblox) и взломанные установщики программного обеспечения. Но в последней кампании, начавшейся по крайней мере в сентябре 2025 года, злоумышленники начали менять свой подход, размещая репозитории на GitHub, которые, по-видимому, предлагают код эксплойтов для нашумевших уязвимостей с высокими оценками CVSSv3.
Уязвимости, для которых они продвигали эксплойты, включали критическое переполнение буфера на основе кучи в Internet Explorer (CVE-2025-59295/ CVSS 8.8), обход аутентификации с максимальной степенью серьезности в плагине WordPress (CVE-2025-10294/ CVSS 9.8) и ненадлежащий контроль доступа в Windows Remote Access Connection Manager (CVE-2025-59230/ CVSS 7.8).
Помимо выгрузки кода эксплойта, репозитории включали подробные разделы с обзорами уязвимости, воздействием на систему, руководствами по установке, шагами использования и даже советами по смягчению последствий. Последовательность формата профессионального описания PoC предполагает, что описания генерируются машинным способом, чтобы избежать обнаружения опытными профессионалами, отметили исследователи «Лаборатории Касперского» в публикации в блоге.
Вредоносная полезная нагрузка и поведение
Под отполированным файлом README злоумышленники разместили защищенный паролем ZIP-архив, ссылка на который была указана в репозитории. Пароль архива был спрятан в именах файлов, что легко упустить из виду ничего не подозревающим пользователям. Внутри ключевые компоненты включают DLL-приманку, пакетный файл для запуска вредоносного ПО и основной исполняемый файл (например, rasmanesc.exe), способный повышать привилегии, отключать Защитник Windows и извлекать реальную полезную нагрузку Webrat с жестко запрограммированных серверов управления и контроля (C2).
После выполнения Webrat устанавливает бэкдор в хост-системе. Бэкдор может извлекать учетные данные, получать доступ к криптовалютным кошелькам, шпионить через веб-камеры и микрофоны, регистрировать нажатия клавиш и красть данные из приложений для обмена сообщениями, таких как Telegram, Discord, и игровых платформ, таких как Steam.
Эти возможности превращают систему в полноценную платформу для наблюдения и кражи под контролем злоумышленника.
Значение сдвига
Исследователи сочли сдвиг от обмана обычных пользователей игровыми читами к нацеливанию на технических специалистов с помощью кода эксплойтов одновременно примечательным и вызывающим беспокойство. «Они нацелены на исследователей, которые часто полагаются на открытые источники для поиска и анализа кода, связанного с новыми уязвимостями», — сказали они.
Однако опытные исследователи безопасности обычно анализируют такие эксплойты в изолированных средах, таких как виртуальные машины или песочницы, сводя к минимуму риск. Возможно, поэтому кампания рассматривается как намеренно настроенная на начинающих, включая студентов, младших аналитиков и тех, кто стремится изучать PoC без безопасных методов обработки.
«Специалисты по кибербезопасности, особенно неопытные исследователи и студенты, должны сохранять бдительность при работе с эксплойтами и любыми потенциально вредоносными файлами, — посоветовали исследователи. — Чтобы предотвратить потенциальный ущерб рабочим и личным устройствам, содержащим конфиденциальную информацию, мы рекомендуем анализировать эти эксплойты и файлы в изолированных средах, таких как виртуальные машины или песочницы». В сообщении отмечалось, что сам Webrat не претерпел каких-либо существенных технических изменений. Вместо этого злоумышленники переосмыслили риск, превратив любопытство к открытому исходному коду в поверхность атаки.
(*) Имейте ввиду: редакции некоторых изданий могут придерживаться предвзятых взглядов в освящении новостей.
8/9
Автор – Shweta Sharma
