駭客透過假冒的概念驗證漏洞利用程式(PoC exploits)散布 Webrat 惡意軟體,鎖定資安愛好者、資安新手及有志成為駭客的人士。
Webrat的攻擊手法與能力
Webrat 惡意軟體能竊取 Telegram、Discord 和 Steam 帳戶以及加密貨幣錢包的資料,並可記錄鍵盤輸入、錄製螢幕畫面、控制網路攝影機和麥克風;還能充當後門,讓攻擊者遠端控制受害系統。
攻擊者將惡意軟體包裝成受密碼保護的壓縮檔,並在 GitHub 上建立儲存庫,偽裝成針對高 CVSSv3 評分漏洞的 PoC 漏洞利用程式。這些惡意儲存庫中的文字很可能是機器自動生成的。下載與安裝區段中的「Download Exploit ZIP」連結會導向託管在同一儲存庫中、受密碼保護的壓縮檔。
壓縮檔中包含一個可執行檔,會將權限提升至管理員等級、停用 Windows Defender 防護功能,然後從預設的 URL 下載 Webrat 惡意軟體。
利用熱門漏洞作為誘餌
卡巴斯基研究人員發現,這波 Webrat 散布活動始於 2025 年 9 月。攻擊者利用資安通報和產業新聞中經常提及的漏洞作為誘餌,包括:
- CVE-2025-10294:WordPress OwnID Passwordless Login 外掛程式漏洞
- CVE-2025-59295:Internet Explorer 堆積緩衝區溢位漏洞
- CVE-2025-59230:Windows RasMan 權限提升漏洞
- CVE-2025-12595 與 CVE-2025-12596:Tenda AC23 無線路由器漏洞
- CVE-2025-54897:Microsoft SharePoint 遠端程式碼執行漏洞
- CVE-2025-54106:Windows 路由及遠端存取服務(RRAS)漏洞
- CVE-2025-55234:Windows SMB 伺服器權限提升漏洞
- CVE-2025-11499:WordPress Tablesome Table 外掛程式未經驗證的任意檔案上傳漏洞
- CVE-2025-11833:WordPress Post SMTP 外掛程式漏洞
研究人員指出,這並非威脅行動者首次利用漏洞利用程式誘騙資安研究人員。去年攻擊者就曾利用當時缺乏可用 PoC 的高知名度 RegreSSHion 漏洞進行類似攻擊。
2024 年底,DataDog 研究人員發現有威脅行動者在 GitHub 上建立數十個惡意儲存庫,內含假冒或植入木馬的 PoC 漏洞利用程式碼,目標同樣是資安研究人員和攻擊型研究者。2023 年,也曾有人試圖透過假冒的 WinRAR 遠端程式碼執行漏洞 PoC 散布 VenomRat 惡意軟體。
防護建議
卡巴斯基研究人員指出,這波攻擊活動主要鎖定資安新手,但也可能針對試圖將新揭露漏洞整合至自身攻擊工具的網路犯罪分子。
建議資安專業人員(特別是經驗不足的研究人員和學生)在處理漏洞利用程式和可疑檔案時務必保持警覺。
為避免敏感資料遭受損害,應在虛擬機器或沙箱等隔離環境中分析這些漏洞利用程式和檔案。
本文轉載自 HelpNetSecurity。