Komoly veszély: adatszivárgás és kémszoftver
A WebRAT egy komplex hátsó ajtót nyit a gépen, és képes érzékeny adatokat, például Steam-, Discord- vagy Telegram-fiókok jelszavait, illetve kriptopénztárcák adatait lopni. Emellett bekapcsolhatja a webkamerát, képernyőképeket készíthet, így a felhasználókat akár meg is figyelheti. Legutóbbi működése során jellemzően olyan, a médiában is megjelent sebezhetőségekre hivatkoztak a csalók, mint a Windows MSHTML/Internet Explorer komponensének heap-alapú puffertúlcsordulása, a WordPresshez készült OwnID Passwordless Login bővítmény kritikus jogosultsági hibája, illetve a Windows RasMan szolgáltatás jogosultságkiterjesztési sérülékenysége.
Profin csomagolt csalétkek, MI-generált szövegek
A Kaspersky 15 olyan GitHub-tárolót azonosított, melyekben a WebRAT-ot terjesztették. Ezek nemcsak a hibáról és a (valójában nem létező) exploit működéséről közöltek részletes információkat, hanem a megelőzésről is beszámoltak. A szövegek stílusa alapján valószínű, hogy MI generálta őket, ezzel is növelve a hitelesség látszatát. A fertőzéshez általában jelszóval védett ZIP-et használnak, benne egy üres fájllal (a jelszó nevét viseli), egy hibás DLL-lel, végrehajtási batch-fájllal és a fő vírusterjesztővel (rasmanesc.exe).
Privilégiumemelés és terjeszkedés
A WebRAT futtatásakor a dropperek adminisztrátori jogosultságokat szereznek, letiltják a Windows Defendert, és egy előre beállított webcímről letöltik, majd telepítik a kártevőt. Ravaszul elhelyezik magukat a Windows rendszerleíró-adatbázisban, ütemezett feladatokban, illetve véletlenszerű mappákban, hogy minél tovább rejtve maradjanak.
Mire kell figyelni?
Bár a Kaspersky minden WebRAT-tal fertőzött GitHub-tárolót eltávolította, a támadók könnyen visszatérhetnek más név alatt. Fejlesztőknek és informatikai érdeklődésű felhasználóknak érdemes kizárólag megbízható forrásból származó exploitokat vagy mintakódokat letölteniük, és ezeket is mindig elkülönített, biztonságos környezetben tesztelni.
