Webrat se espalha via GitHub fingindo PoCs e explora pesquisadores inexperientes | Cyber ataques

Kaspersky descreve campanha que distribui o trojan Webrat via repositórios GitHub disfarçados como PoCs/exploits (incluindo CVE‑2025‑10294 e CVE‑2025‑59295). O ZIP analisado continha um executável malicioso que eleva privilégios, desativa Defender e baixa o Webrat; o malware rouba credenciais, carteiras e possui capacidades de spyware. Recomenda‑se análise de PoCs em VMs isoladas e bloqueio de domínios/URLs observados.

Pesquisadores da Kaspersky documentaram uma campanha na qual o trojan Webrat é distribuído por repositórios do GitHub disfarçado de exploits/PoCs, com o objetivo aparente de atrair pesquisadores, estudantes e usuários que baixam código de fontes abertas.

Resumo executivo

Desde pelo menos setembro de 2025, repositórios no GitHub têm sido usados para hospedar arquivos que se apresentam como exploits para vulnerabilidades de alto perfil. O artefato real entregue é o backdoor Webrat — um malware já documentado que rouba credenciais, carteiras de criptomoedas e oferece capacidades de spyware (gravacão de tela, webcam, keylogging).

Mecânica da campanha e engodo

Os repositórios exibem documentação detalhada sobre as vulnerabilidades (overview, instruções de uso, mitigação), visando criar confiança. Em alguns casos os atacantes incluíram exploits para CVEs com altos scores, incluindo:

CVE-2025-10294 (CVSS 9.8)
CVE-2025-59295 (CVSS 8.8)
CVE-2025-59230 (CVSS 7.8)

O link para o "Download Exploit" aponta para um arquivo ZIP protegido por senha; a senha está escondida no nome de um ficheiro dentro do próprio arquivo — artefato usado para facilitar a execução pelo usuário distraído.

Arquivos e comportamento do malware

O ZIP analisado pela Kaspersky continha quatro arquivos: um ficheiro vazio cujo nome continha a senha, um payload.dll decoy (corrompido), um executável maligno (rasmanesc.exe no exemplo) e um start_exp.bat que executa o binário principal. O executável malicioso realiza elevação de privilégios, desativa o Windows Defender e faz download/execução de amostras Webrat a partir de URLs hardcoded.

Capacidades do Webrat

Conforme o relatório, o Webrat entrega funcionalidades de backdoor e spyware: roubo de credenciais de serviços (Telegram, Discord, Steam), extração de carteiras de criptomoedas, gravação de tela, acesso a webcam/microfone e keylogging. Os vetores de persistência e as táticas descritas indicam foco em exfiltração de ativos de alto valor.

Objetivo aparente e análise do tradecraft

Os autores claramente passaram a mirar a comunidade de segurança e estudantes, usando credenciais de confiança (PoCs e exploits) como isca. A embalagem do repositório e a inclusão de instruções detalhadas ajudam a reduzir suspeitas e a aumentar a probabilidade de execução em máquinas de vítimas menos experientes.

Indicadores e mitigação

Kaspersky publicou indicadores de comprometimento incluindo repositórios maliciosos no GitHub e domínios C2 (ex.: ezc5510min.temp[.]swtest[.]ru). Também foram fornecidos hashes MD5 de amostras identificadas (por exemplo, 61b1fc6ab327e6d3ff5fd3e82b430315).

Recomendações imediatas: analisar exploits/PoCs apenas em máquinas isoladas (VMs/sandbox), não executar binários em hosts com dados sensíveis e evitar extrair/rodar ZIPs sem análise prévia.
Para equipes de segurança: bloquear URLs/domínios observados, monitorar downloads de repositórios públicos e educar pesquisadores juniores sobre práticas seguras de análise.

Conclusão

A campanha mostra duas tendências: (1) uso de repositórios públicos como vetor de distribuição e (2) engenharia social dirigida a pesquisadores menos experientes. A defesa passa por controles operacionais — isolamento de análise, políticas de segurança para downloads e treinamento focado — e por capacidade de detecção para blocos de rede e execuções suspeitas.