Gli esperti di Kaspersky hanno individuato una nuova modalità di distribuzione del malware Webrat. Oltre che trucchi per giochi e software pirata, i cybercriminali hanno utilizzato i repository di GitHub. Gli ignari sviluppatori hanno quasi certamente scaricato i file infetti dei presunti exploit.
Webrat nascosto negli archivi ZIP
Webrat è stato scoperto per la prima volta all’inizio di giugno. Veniva distribuito tramite software pirata o trucchi per noti giochi, tra cui Roblox, Rust e Counter-Strike. Da settembre è stato nascosto in 15 repository su GitHub. Ignoti cybercriminali hanno pubblicato i file degli exploit per tre vulnerabilità, due di Windows (CVE-2025-59295 e CVE-2025-59230) e una del plugin OwnID Passwordless Login per WordPress (CVE-2025-10294).
Le informazioni sulle vulnerabilità, la guida per l’installazione degli exploit e le mitigazioni per limitare i rischi associati avevano una struttura simile in tutti i repository, quindi sono state sicuramente generate con l’intelligenza artificiale. I file dei presunti exploit erano presenti in archivi ZIP protetti da password.
Al suo interno c’erano una DLL inutile (non aveva nessuno scopo), un’eseguibile e un file batch che avviava l’eseguibile. Quest’ultimo era un dropper che elevava i privilegi, disattivava Windows Defender e scaricava Webrat da un dominio russo. Il malware ha funzionalità di infostealer, spyware e backdoor. Può rubare dati da Telegram, Discord, Steam e wallet di criptovalute, catturare screenshot, attivare microfono e webcam, registrare i tasti premuti e consentire l’accesso remoto al dispositivo.
Secondo Kaspersky, i bersagli della campagna malware sono studenti e sviluppatori alle prime armi. I ricercatori di sicurezza analizzano gli exploit in un ambiente isolato e controllato, quindi Webrat non può accedere a dati sensibili, microfono e webcam. Tutti i repository sono stati rimossi da GitHub.
Ti potrebbe interessare
24 dic 2025