Il malware WebRAT ha evoluto le sue strategie di distribuzione, sfruttando ora GitHub come vettore di attacco attraverso repository fraudolenti che promettono exploit pronti all'uso per vulnerabilità di sicurezza recentemente scoperte e ampiamente discusse nei media. Una tattica che prende di mira una delle categorie più sensibili agli attacchi: sviluppatori, ricercatori di sicurezza e professionisti IT che cercano proof-of-concept per testare le proprie infrastrutture o comprendere meglio le minacce emergenti.
WebRAT non è un malware recente: individuato per la prima volta all'inizio del 2025, questo backdoor con funzionalità di info-stealer si era inizialmente diffuso attraverso software piratato e cheat per videogiochi popolari come Roblox, Counter Strike e Rust. Secondo un'analisi di Solar 4RAYS pubblicata a maggio, il malware è in grado di sottrarre credenziali per piattaforme come Steam, Discord e Telegram, oltre a dati di portafogli di criptovalute. Le sue capacità includono anche sorveglianza tramite webcam e acquisizione di screenshot, configurandosi come una minaccia completa per la privacy e la sicurezza digitale degli utenti colpiti.
Il punto di svolta nella strategia distributiva è avvenuto a settembre 2025, quando gli operatori hanno iniziato a creare repository GitHub accuratamente progettati per apparire legittimi. I ricercatori di Kaspersky hanno scoperto 15 repository malevoli, tutti strutturati per sembrare documentazione tecnica professionale di vulnerabilità reali. Tra le falle di sicurezza sfruttate come esca figurano CVE-2025-59295, un buffer overflow heap-based nel componente MSHTML/Internet Explorer di Windows che consente l'esecuzione di codice arbitrario, CVE-2025-10294, un bypass critico dell'autenticazione nel plugin OwnID Passwordless Login per WordPress, e CVE-2025-59230, una vulnerabilità di escalation dei privilegi nel servizio Remote Access Connection Manager di Windows.
La qualità della documentazione fraudolenta rappresenta un elemento distintivo di questa campagna. Kaspersky ritiene che i testi descrittivi delle vulnerabilità, le spiegazioni degli exploit e le indicazioni sulle mitigazioni siano stati generati utilizzando modelli di intelligenza artificiale, conferendo ai repository un'apparenza di professionalità tale da ingannare anche utenti esperti. La struttura delle informazioni risulta coerente e ben organizzata, mimando perfettamente il formato standard della disclosure di sicurezza.
Il meccanismo di distribuzione prevede un file ZIP protetto da password contenente elementi studiati per aggirare i sospetti: un file vuoto il cui nome corrisponde alla password stessa, una DLL corrotta che funge da esca, un file batch utilizzato nella catena di esecuzione e il dropper principale chiamato rasmanesc.exe. Quest'ultimo componente esegue una sequenza di operazioni critiche: innanzitutto eleva i propri privilegi di sistema, poi disabilita attivamente Windows Defender per evitare il rilevamento, infine scarica ed esegue il payload completo di WebRAT da un URL preconfigurato.
Una volta installato, il malware implementa molteplici tecniche di persistenza per garantire la propria permanenza nel sistema compromesso. Tra queste figurano modifiche al registro di sistema di Windows, l'utilizzo del Task Scheduler per pianificare esecuzioni automatiche e l'iniezione del proprio codice in directory di sistema casuali, rendendo particolarmente complessa la rimozione completa del malware anche per utenti con competenze tecniche avanzate.
Gli analisti di Kaspersky sottolineano che la variante di WebRAT utilizzata in questa campagna non presenta differenze tecniche sostanziali rispetto ai campioni documentati in precedenza, mantenendo le stesse funzionalità di info-stealing e sorveglianza già note. Ciò che cambia radicalmente è il vettore di attacco, molto più sofisticato e mirato rispetto alla distribuzione tramite software piratato o cheat per videogiochi.
L'utilizzo di repository GitHub fraudolenti per distribuire malware mascherato da exploit non costituisce una novità assoluta nel panorama delle minacce informatiche, con numerosi casi documentati negli anni precedenti. Più recentemente, attori malevoli hanno promosso un falso exploit denominato "LDAPNightmare" sempre attraverso GitHub per diffondere infostealer. Tuttavia, la sistematicità e la raffinatezza della campagna WebRAT rappresentano un'evoluzione preoccupante di questa tattica.
Tutti i repository malevoli collegati alla campagna WebRAT individuati da Kaspersky sono stati rimossi da GitHub. Ciononostante, la minaccia rimane concreta: gli attori malevoli possono facilmente creare nuovi account con nomi di publisher differenti e riproporre le stesse esche. Per sviluppatori, ricercatori di sicurezza e professionisti IT, la raccomandazione fondamentale rimane l'esecuzione di qualsiasi exploit o codice proveniente da fonti non completamente verificate esclusivamente in ambienti controllati e isolati, preferibilmente macchine virtuali o sandbox dedicate, evitando categoricamente l'esecuzione su sistemi di produzione o contenenti dati sensibili.
