文章总结: Webrat恶意软件伪装成高CVSS评分漏洞利用程序在GitHub传播,诱骗安全研究人员。攻击者利用AI生成描述并提供受密码保护的压缩包,内含提权、禁用杀软及下载后门的主恶意文件。该软件具备窃取加密钱包、社交账号及键盘记录等能力。文中列出恶意仓库及样本哈希,建议谨慎测试不明Exploit,避免直接运行。 综合评分: 88 文章分类: 恶意软件,威胁情报,安全意识,社会工程学,漏洞POC
恶意软件伪装成漏洞利用程序,专搞信息安全人员
二进制空间安全
2025年12月24日 15:05 北京
将二进制空间安全设为”星标⭐️”
第一时间收到文章更新
#
传播方式与恶意样本
该恶意软件被命名为Webrat, 攻击者为了能吸引受害者, 专门利用安全公告和行业新闻中频繁提及的漏洞, 具体做法是将恶意软件伪装成CVSSv3评分较高的漏洞利用程序, 声称可以利用以下漏洞:
| | | | — | — | | CVE | CVSSv3 | | CVE-2025-59295 | 8.8 | | CVE-2025-10294 | 9.8 | | CVE-2025-59230 | 7.8 |
除此之外, 攻击者同时还利用了没有利用代码的其它漏洞和已经存在利用代码的漏洞作为诱饵, 为了建立可信度, 还精心准备了Github仓库, 并加上了详细的漏洞信息, 这些信息内容包括:
概述:漏洞的基本信息及其潜在影响
受影响系统说明:哪些系统容易受到该漏洞利用
下载与安装指南:如何获取并安装所谓的漏洞利用程序
使用指南:如何运行和使用该“漏洞利用”
缓解措施:降低漏洞风险的防护建议
代码仓库如下图:
在多个恶意仓库中,攻击者都使用了高度相似的描述, 文本内容有一股强烈的AI味道。在“Download & Install”部分中,“Download Exploit ZIP” 链接指向一个受密码保护的压缩包,该压缩包就托管在同一个仓库中。解压密码被隐藏在压缩包内某个文件的文件名中。如下图 :
压缩包内容
从仓库下载的压缩包中包含以下四个文件:
-
pass – 8511:一个空文件,其文件名中包含了解压缩包所需的密码。
-
payload.dll:一个诱饵文件,是一个被破坏的 PE 文件,不包含任何有效功能,仅用于转移注意力。
-
rasmanesc.exe(文件名可能有所不同):这是主要的恶意文件(MD5:61b1fc6ab327e6d3ff5fd3e82b430315),执行以下操作:
(1).将自身权限提升至管理员级别
(2). Windows Defender 以规避检测
(3)从硬编码的 URL(例如ezc5510min.temp[.]swtest[.]ru)下载 Webrat 家族的样本并执行
- start_exp.bat:仅包含一条命令 start rasmanesc.exe,进一步提高用户执行主恶意文件的可能性。
Webrat 是一个后门程序,允许攻击者远程控制被感染的系统。此外,它还具备以下能力:
(1).窃取加密货币钱包数据。
(2).窃取Telegram、Discord、Steam账户信息。
(3).执行多种间谍功能,包括:屏幕录制、通过摄像头和麦克风进行监控和键盘记录(Keylogging)
恶意软件仓库地址
https://github[.]com/RedFoxNxploits/CVE-2025-10294-Poc
https://github[.]com/FixingPhantom/CVE-2025-10294
https://github[.]com/h4xnz/CVE-2025-10294-POC
https://github[.]com/usjnx72726w/CVE-2025-59295/tree/main
https://github[.]com/stalker110119/CVE-2025-59230/tree/main
https://github[.]com/moegameka/CVE-2025-59230
https://github[.]com/DebugFrag/CVE-2025-12596-Exploit
https://github[.]com/themaxlpalfaboy/CVE-2025-54897-LAB
https://github[.]com/DExplo1ted/CVE-2025-54106-POC
https://github[.]com/h4xnz/CVE-2025-55234-POC
https://github[.]com/Hazelooks/CVE-2025-11499-Exploit
https://github[.]com/usjnx72726w/CVE-2025-11499-LAB
https://github[.]com/modhopmarrow1973/CVE-2025-11833-LAB
https://github[.]com/rootreapers/CVE-2025-11499
https://github[.]com/lagerhaker539/CVE-2025-12595-POC
Webrat C2
http://ezc5510min[.]temp[.]swtest[.]ru
http://shopsleta[.]ru
#
(全文完)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:二进制空间安全 《恶意软件伪装成漏洞利用程序,专搞信息安全人员》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论