WebRAT malware spread via fake vulnerability exploits on GitHub
Mis à jour :
Diffusion de WebRAT via des Exploits Fictifs sur GitHub
Des dépôts sur GitHub, prétendant proposer des preuves de concept pour des vulnérabilités nouvellement découvertes, sont actuellement utilisés pour distribuer le logiciel malveillant WebRAT. Ce dernier, apparu en début d’année, est une porte dérobée capable de voler des informations. Il a déjà été observé diffusé via des logiciels piratés et des triches pour des jeux vidéo.
Les capacités de WebRAT incluent le vol d’identifiants pour des comptes tels que Steam, Discord et Telegram, ainsi que des données de portefeuilles de cryptomonnaies. Il peut également espionner les victimes via leur webcam et capturer des captures d’écran.
Depuis au moins septembre, les opérateurs de WebRAT ont commencé à utiliser des dépôts GitHub spécialement conçus. Ces dépôts fournissent des informations sur des vulnérabilités médiatisées et prétendent offrir des exploits pour celles-ci. Parmi les vulnérabilités citées figurent :
- CVE-2025-59295 : Dépassement de tampon basé sur le tas dans le composant MSHTML/Internet Explorer de Windows, permettant l’exécution de code arbitraire.
- CVE-2025-10294 : Contournement d’authentification critique dans le plugin OwnID Passwordless Login pour WordPress, permettant à des attaquants non authentifiés de se connecter comme n’importe quel utilisateur.
- CVE-2025-59230 : Vulnérabilité d’élévation de privilèges dans le service Remote Access Connection Manager (RasMan) de Windows, permettant à un attaquant local d’atteindre le niveau SYSTEM.
Les chercheurs ont identifié plusieurs dépôts distribuant WebRAT, tous contenant des descriptions des problèmes, des prétendus exploits et des atténuations. Il est suspecté que ces descriptions ont été générées par une intelligence artificielle.
La distribution de WebRAT se fait généralement via un fichier ZIP protégé par mot de passe. Celui-ci contient un fichier exécutable principal (rasmanesc.exe) qui élève les privilèges, désactive Windows Defender, puis télécharge et exécute WebRAT à partir d’une URL prédéfinie. Les méthodes de persistance de WebRAT incluent la modification du registre Windows, l’utilisation du planificateur de tâches et l’injection dans des répertoires système.
Bien que les dépôts malveillants identifiés aient été retirés, les acteurs malveillants peuvent soumettre de nouveaux leurres.
Points clés :
- WebRAT est diffusé via de faux exploits sur GitHub.
- Le malware peut voler des informations sensibles (identifiants, cryptomonnaies) et espionner les utilisateurs.
- Des vulnérabilités connues sont utilisées comme prétexte pour attirer les victimes.
- Les descriptions des vulnérabilités pourraient être générées par IA.
- La distribution se fait via des fichiers ZIP contenant un dropper qui télécharge le malware.
Vulnérabilités mentionnées :
- CVE-2025-59295
- CVE-2025-10294
- CVE-2025-59230
Recommandations :
- Faire preuve de prudence quant aux sources d’exploits ou de code potentiellement non fiables.
- Tester tout code provenant de sources non fiables dans un environnement contrôlé et isolé.
- Les dépôts malveillants sont susceptibles d’être remplacés par de nouveaux sous différents noms d’auteurs.