O malware WebRAT tem sido disseminado por meio de repositórios no GitHub que supostamente oferecem exploits proof-of-concept para vulnerabilidades recentemente divulgadas.
Anteriormente, sua propagação ocorria por meio de programas pirateados e cheats para jogos como Roblox, Counter-Strike e Rust.
Lançado no início do ano, o WebRAT é um backdoor com recursos avançados para roubo de informações.
Segundo relatório da Solar 4RAYS divulgado em maio, o malware pode capturar credenciais em plataformas como Steam, Discord e Telegram, além de dados de carteiras de criptomoedas.
Ele também possui funcionalidades para espionar as vítimas por meio da webcam e realizar screenshots sem permissão.
Desde pelo menos setembro, os operadores passaram a distribuir o WebRAT por meio de repositórios no GitHub cuidadosamente desenvolvidos, que alegam conter exploits para diversas vulnerabilidades noticiadas na mídia.
Entre elas, destacam-se:
-
CVE-2025-59295
: um heap buffer overflow no componente MSHTML/Internet Explorer do Windows, que permite execução remota de código por meio de dados malformados transmitidos pela rede.
-
CVE-2025-10294
: falha crítica de bypass de autenticação no plugin OwnID Passwordless Login para WordPress.
A exploração indevida da validação inadequada de segredos compartilhados possibilita que atacantes não autenticados façam login como usuários arbitrários, incluindo administradores, sem necessidade de credenciais.
-
CVE-2025-59230
: vulnerabilidade de elevação de privilégio no serviço Remote Access Connection Manager (RasMan) do Windows.
Um invasor com acesso local pode explorar o controle inadequado para obter privilégios de sistema (SYSTEM) nas instalações afetadas.
Pesquisadores da Kaspersky identificaram 15 repositórios relacionados ao WebRAT, todos contendo informações detalhadas sobre as vulnerabilidades, o funcionamento dos supostos exploits e possíveis medidas de mitigação.
O formato e a estrutura dos textos indicam que o conteúdo provavelmente foi gerado por inteligência artificial.
O malware utiliza múltiplos métodos para garantir persistência, como alterações no Windows Registry, uso do Agendador de Tarefas (Task Scheduler) e injeção de código em diretórios aleatórios do sistema.
De acordo com a Kaspersky, os exploits falsos são distribuídos como arquivos ZIP protegidos por senha.
Esses arquivos incluem um arquivo vazio cujo nome é a senha, uma DLL corrompida que serve como isca, um arquivo batch usado na cadeia de execução e o dropper principal, chamado rasmanesc.exe.
Esse dropper eleva privilégios no sistema, desativa o Windows Defender e, em seguida, baixa e executa o WebRAT a partir de uma URL fixa codificada em seu código.
A variante do WebRAT observada nesta campanha não difere das amostras previamente documentadas, exibindo as mesmas funcionalidades descritas em relatórios anteriores.
O uso de exploits falsos no GitHub para enganar usuários e instalar malware não é novidade e já foi amplamente registrado em incidentes anteriores.
Recentemente, atores maliciosos também divulgaram um falso exploit chamado “LDAPNightmare” para disseminar malware focado em roubo de dados.
Todos os repositórios maliciosos relacionados ao WebRAT identificados pela Kaspersky já foram removidos da plataforma.
Ainda assim, desenvolvedores e profissionais de segurança devem manter atenção às fontes utilizadas, pois os criminosos podem criar novas iscas sob diferentes nomes de usuário.
A recomendação geral ao testar exploits ou códigos de procedência duvidosa é executá-los em ambientes isolados e controlados, garantindo a segurança do sistema e da rede.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...