2025-12-26 01:47:21 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 一种名为Webrat的恶意软件专门针对信息安全人员，通过伪装成高评分CVE漏洞利用程序在GitHub传播。攻击者利用AI生成的虚假文档建立信任，诱导受害者下载受密码保护的压缩包。执行后恶意程序会提权、关闭WindowsDefender并下载后门，具备窃取加密钱包、社交账号及键盘记录等间谍功能。建议安全人员警惕不明来源的漏洞利用代码，务必在隔离环境中测试。 综合评分： 91 文章分类： 恶意软件,威胁情报,安全意识

cover_image

【恶意软件】伪装成漏洞利用程序,专搞信息安全人员

安小圈

2025年12月25日 08:46 上海

安小圈

第822期

传播方式与恶意样本

该恶意软件被命名为Webrat, 攻击者为了能吸引受害者, 专门利用安全公告和行业新闻中频繁提及的漏洞, 具体做法是将恶意软件伪装成CVSSv3评分较高的漏洞利用程序, 声称可以利用以下漏洞:

| | | | — | — | | CVE | CVSSv3 | | CVE-2025-59295 | 8.8 | | CVE-2025-10294 | 9.8 | | CVE-2025-59230 | 7.8 |

除此之外, 攻击者同时还利用了没有利用代码的其它漏洞和已经存在利用代码的漏洞作为诱饵, 为了建立可信度, 还精心准备了Github仓库, 并加上了详细的漏洞信息, 这些信息内容包括:

概述：漏洞的基本信息及其潜在影响

受影响系统说明：哪些系统容易受到该漏洞利用

下载与安装指南：如何获取并安装所谓的漏洞利用程序

使用指南：如何运行和使用该“漏洞利用”

缓解措施：降低漏洞风险的防护建议

代码仓库如下图:

在多个恶意仓库中,攻击者都使用了高度相似的描述, 文本内容有一股强烈的AI味道。在“Download & Install”部分中，“Download Exploit ZIP” 链接指向一个受密码保护的压缩包，该压缩包就托管在同一个仓库中。解压密码被隐藏在压缩包内某个文件的文件名中。如下图 :

压缩包内容

从仓库下载的压缩包中包含以下四个文件：

pass – 8511：一个空文件，其文件名中包含了解压缩包所需的密码。
payload.dll：一个诱饵文件，是一个被破坏的 PE 文件，不包含任何有效功能，仅用于转移注意力。
rasmanesc.exe（文件名可能有所不同）：这是主要的恶意文件（MD5：61b1fc6ab327e6d3ff5fd3e82b430315），执行以下操作：

(1).将自身权限提升至管理员级别

(2). Windows Defender 以规避检测

(3)从硬编码的 URL（例如ezc5510min.temp[.]swtest[.]ru）下载 Webrat 家族的样本并执行

start_exp.bat：仅包含一条命令 start rasmanesc.exe，进一步提高用户执行主恶意文件的可能性。

Webrat 是一个后门程序，允许攻击者远程控制被感染的系统。此外，它还具备以下能力：

(1).窃取加密货币钱包数据。

(2).窃取Telegram、Discord、Steam账户信息。

(3).执行多种间谍功能，包括：屏幕录制、通过摄像头和麦克风进行监控和键盘记录（Keylogging）

恶意软件仓库地址

https://github[.]com/RedFoxNxploits/CVE-2025-10294-Poc

https://github[.]com/FixingPhantom/CVE-2025-10294

https://github[.]com/h4xnz/CVE-2025-10294-POC

https://github[.]com/usjnx72726w/CVE-2025-59295/tree/main

https://github[.]com/stalker110119/CVE-2025-59230/tree/main

https://github[.]com/moegameka/CVE-2025-59230

https://github[.]com/DebugFrag/CVE-2025-12596-Exploit

https://github[.]com/themaxlpalfaboy/CVE-2025-54897-LAB

https://github[.]com/DExplo1ted/CVE-2025-54106-POC

https://github[.]com/h4xnz/CVE-2025-55234-POC

https://github[.]com/Hazelooks/CVE-2025-11499-Exploit

https://github[.]com/usjnx72726w/CVE-2025-11499-LAB

https://github[.]com/modhopmarrow1973/CVE-2025-11833-LAB

https://github[.]com/rootreapers/CVE-2025-11499

https://github[.]com/lagerhaker539/CVE-2025-12595-POC

Webrat C2

http://ezc5510min[.]temp[.]swtest[.]ru

http://shopsleta[.]ru

end

【以上内容来源自：二进制空间安全】

**聊一聊网络安全公司的内部争斗

国家出手！网络安全产业低价中标乱象能否终结？
网络安全行业还会好起来吗?**

*** *《网络安全法》完成修改，自2026年1月1日起施行*

网络安全法修改了哪些内容？（附详细对照表）

全球三大网络安全巨头同时被黑

网安：亏损 TOP 10
中国联通DNS故障敲响警钟：DNS安全刻不容缓
全球超120万个医疗系统公网暴露：患者数据或遭窃取中国亦受影响
个人信息保护负责人信息报送系统填报说明（第一版）全文
高度警惕：不明黑客组织攻击中国国防、能源、航空、医疗、网安等重点行业

攻防演练在即：如何开展网络安全应急响应

【攻防演练】中钓鱼全流程梳理

[一文详解]网络安全【攻防演练】中的防御规划与实施

攻防必备 | 10款国产“两高一弱”专项解决方案

【干货】2024 攻防演练 · 期间 | 需关注的高危漏洞清单

攻防演练在即，10个物理安全问题不容忽视

红队视角！2024 | 国家级攻防演练100+必修高危漏洞合集(可下载)

【攻防演练】中钓鱼全流程梳理

攻防演练在即：如何开展网络安全应急响应

【零信任】落地的理想应用场景：攻防演练

网安同行们，你们焦虑了吗？

# 网安公司最后那点体面，还剩下多少？

突发！数万台 Windows 蓝屏。。。。广联达。。。惹的祸。。。

# 权威解答 | 国家网信办就：【数据出境】安全管理相关问题进行答复

# 全国首位！上海通过数据出境安全评估91个，合同备案443个

# 沈传宁：落实《网络数据安全管理条例》，提升全员数据安全意识

频繁跳槽，只为投毒

【2025】常见的网络安全服务大全（汇总详解）

AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿)，附下载

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安小圈《【恶意软件】伪装成漏洞利用程序,专搞信息安全人员》