Os repositórios de código aberto tornaram-se novamente num campo de batalha para a segurança informática. O malware conhecido como WebRAT, anteriormente associado a pirataria de software e batotas em videojogos, mudou de estratégia e está agora a ser distribuído através do GitHub, disfarçado de provas de conceito (PoC) para vulnerabilidades recentemente descobertas.
Esta mudança de tática visa especificamente investigadores de segurança e administradores de sistemas que procuram testar ou corrigir falhas críticas nos seus ambientes.
Uma armadilha sofisticada para profissionais
Originalmente detetado no início do ano a ser propagado através de software pirata e "cheats" para jogos como o Roblox, Counter Strike e Rust, o WebRAT evoluiu para atacar alvos mais técnicos. Desde setembro que os operadores deste malware criaram repositórios cuidadosamente elaborados que prometiam fornecer exploits funcionais para vulnerabilidades amplamente divulgadas na comunicação social.
Entre as falhas que serviram de isco encontram-se a CVE-2025-59295 (uma execução de código arbitrário no componente MSHTML do Windows) e a CVE-2025-10294 (uma falha crítica no plugin OwnID para WordPress). Curiosamente, os atacantes também aproveitaram a atenção dada à CVE-2025-59230, uma vulnerabilidade de elevação de privilégios no serviço Windows RasMan, para atrair vítimas.
Segundo a investigação publicada pela Kaspersky, foram identificados 15 repositórios maliciosos que distribuíam o WebRAT. Estes locais forneciam descrições detalhadas sobre os problemas e as supostas mitigações, utilizando textos que os investigadores acreditam ter sido gerados por modelos de Inteligência Artificial para conferir credibilidade.
As capacidades do WebRAT
Uma vez executado no sistema da vítima, o WebRAT atua como uma "backdoor" com capacidades avançadas de roubo de informação. O malware está preparado para extrair credenciais de plataformas populares como a Steam, Discord e Telegram, além de visar dados de carteiras de criptomoedas.
A ameaça não se fica pelo roubo de dados passivo. O software malicioso consegue espiar as vítimas através da webcam e realizar capturas de ecrã, enviando a informação para os servidores de comando e controlo dos atacantes.
O processo de infeção é iniciado através de um ficheiro ZIP protegido por palavra-passe. Dentro, encontra-se uma cadeia de execução que inclui um ficheiro "decoy" (isco), uma DLL corrompida e um executável principal denominado rasmanesc.exe. Este "dropper" tem a capacidade de elevar privilégios no sistema, desativar o Windows Defender e, finalmente, descarregar e executar o WebRAT a partir de um URL predefinido.
Para garantir a sua permanência no sistema infetado, o malware utiliza múltiplos métodos de persistência, incluindo modificações no Registo do Windows, agendamento de tarefas e a injeção de código em diretórios de sistema aleatórios.
Embora os repositórios identificados tenham sido removidos, a comunidade de segurança alerta que esta tática não é nova e tende a ressurgir com nomes de editores diferentes. A regra de ouro mantém-se: qualquer código ou exploit proveniente de fontes não verificadas deve ser testado exclusivamente em ambientes isolados e controlados.
Nenhum comentário
Seja o primeiro!