Охотник стал добычей. Как «безопасники» ловят вирусы, пытаясь скачать инструменты для их поиска

WebRAT GitHub Лаборатория Касперского СОЛАР Windows OwnID инфостилер
Охотник стал добычей. Как «безопасники» ловят вирусы, пытаясь скачать инструменты для их поиска
WebRAT GitHub Лаборатория Касперского СОЛАР Windows OwnID инфостилер

Экспертное сообщество столкнулось с угрозой, мастерски замаскированной под содействие.

image

На фоне постоянного потока свежих CVE всё чаще появляются «готовые решения», которые выглядят как быстрый способ проверить уязвимость, но на деле оказываются приманкой. На этот раз вредоносную программу WebRAT начали распространять через репозитории на GitHub, замаскированные под PoC-эксплойты для недавно описанных проблем безопасности.

WebRAT — это бэкдор с функциями кражи данных, который появился в начале 2025 года и ранее продвигался через пиратский софт и читы для Roblox, Counter Strike и Rust. По данным компании «СОЛАР», вредонос способен похищать учётные данные Steam, Discord и Telegram, а также данные криптокошельков. Кроме того, он умеет делать скриншоты и следить за жертвой через веб-камеру.

Как сообщает «Лаборатория Касперского», с сентября операторы WebRAT переключились на более «техническую» легенду — на GitHub размещались аккуратно оформленные репозитории, якобы содержащие эксплойты для уязвимостей, о которых писали СМИ.

Среди приманок встречались: CVE-2025-59295 (переполнение буфера в компоненте Windows MSHTML/Internet Explorer с возможностью удалённого выполнения кода), CVE-2025-10294 (критический обход аутентификации в плагине OwnID Passwordless Login для WordPress) и CVE-2025-59230 (повышение привилегий в службе Windows RasMan до уровня SYSTEM). Всего специалисты нашли 15 таких репозиториев, причём описания выглядели однотипно и напоминали текст, сгенерированный ИИ.

Поддельные «эксплойты» распространялись как ZIP-архив с паролем. Внутри находились пустой файл, имя которого совпадало с паролем, повреждённая DLL-приманка, batch-файл для запуска цепочки и основной загрузчик rasmanesc.exe. Загрузчик повышал привилегии, отключал Защитник Windows, затем скачивал и запускал WebRAT по заранее заданному адресу. Закрепляться в системе вредонос мог разными способами — через изменения в реестре, планировщик заданий и копирование в случайные системные каталоги.

Все обнаруженные репозитории уже удалены, однако сама схема остаётся актуальной — новые приманки легко появляются под другими именами. При работе с чужими PoC и «эксплойтами» из непроверенных источников критично запускать их только в изолированной, контролируемой среде.