Свежая публикация экспертов «Лаборатории Касперского» анализирует новую тактику распространения троянской программы Webrat. В начале года эта же программа распространялась под видом читов для популярных игр, таких как Rust и Counter-Strike, а также для платформы Roblox. Судя по всему, организаторы атаки решили расширить аудиторию потенциальных жертв и применили достаточно необычный (хотя и неуникальный) метод: троян распространяется через репозитории на GitHub под видом эксплойтов для «популярных» уязвимостей.
Какие именно уязвимости считают популярными кибермошенники — достаточно любопытная информация. В статье «Лаборатории Касперского» упоминаются три проблемы с достаточно высоким рейтингом опасности по шкале CVSS v3. Это CVE-2025-59295 (8,8 балла из 10 возможных) — свежая, закрытая в октябре 2025 года, уязвимость в браузере Internet Explorer, эксплуатация которой может приводить к выполнению произвольного кода в результате посещения вредоносной страницы. Проблема CVE-2025-10294 (9,8 балла) затрагивает расширение OwnID Passwordless Login для платформы WordPress и позволяет обойти систему аутентификации. Наконец, уязвимость CVE-2025-59230 (7,8 балла) в компоненте Windows под названием Remote Access Connection Manager открывает возможность локального повышения привилегий.
В зависимости от эксплойта и вариации поддельной страницы, злоумышленники распространяют собственный вредоносный код как в комплекте с рабочим эксплойтом для указанной уязвимости, так и без него. Для максимального правдоподобия в каждом репозитории GitHub опубликована подробная статья с описанием уязвимости, инструкциями по скачиванию и даже с предложениями по защите от эксплуатации проблемы. С высокой долей вероятности текст, сопровождающий вредоносный код, был сгенерирован при помощи ИИ с небольшими вариациями. В описании приложена ссылка, ведущая на запароленный архив вот с таким содержимым:
Названия файлов могут отличаться, но в данном конкретном примере потенциальной жертве предлагаются: (1) пустой файл, подсказывающий пароль для распаковки архива, (2) битый файл payload.dll, не выполняющий никаких действий, но делающий вид, что именно он и является эксплойтом, (3) основной вредоносный файл с расширением .exe и (4) батник, который, по мнению организаторов атаки, повышает вероятность запуска экзешника. Функциональность исполняемого файла достаточно простая. Он запрашивает привилегии администратора, отключает встроенное защитное решение Windows Defender, скачивает со статического URL основной вредоносный код и выполняет его.
Функциональность Webrat в этой кампании не отличается от остальных. Троян крадет данные криптокошельков, информацию для доступа к учеткам в мессенджерах Telegram и Discord, а также на платформе Steam. Помимо этого, он может выполнять запись экрана, включать веб-камеру и микрофон, регистрировать нажатия на клавиши. В любой момент организатор атаки может удаленно контролировать зараженную систему вручную.
Атака на специалистов безопасности (или же интересующихся этой темой) выглядит достаточно необычно и рассчитана на тех, кто не догадается изолировать сомнительный, загруженный из Сети исполняемый файл в виртуальной среде для проверки — что в данном роде деятельности вообще-то является стандартной практикой. Тем не менее это не единственная атака подобного типа. В прошлом году специалисты «Лаборатории Касперского» сообщали о распространении вредоносного кода под видом эксплойта для достаточно громкой уязвимости RegreSSHion в библиотеке OpenSSH (CVE-2024-6387). Публичного эксплойта для уязвимости на момент обнаружения атаки и вовсе не существовало, поэтому в распространяемом злоумышленниками архиве была похожая смесь из неработающего кода и вполне рабочей вредоносной программы, причем под Linux. Ссылки на поддельный эксплойт распространялись в соцсетях в надежде на то, что кто-то распакует архив и запустит вложенный скрипт на Python не глядя.
Что ещё произошло
Еще одна публикация «Лаборатории Касперского» предлагает критерии оценки эффективности SIEM-системы. А в этом отчете оценивается ландшафт угроз для систем промышленной автоматизации за третий квартал 2025 года.
Исследователь BobDaHacker обнаружил ряд, мягко говоря, досадных упущений в системе защиты умных аксессуаров для домашних питомцев Petlibro. Систему аутентификации на серверах компании можно обойти несколькими способами, начиная с самого простого — API для логина с помощью учетки в Google или в соцсети не проверяет токены OAuth. В результате можно получить доступ к аккаунту, зная один только Google ID зарегистрированного пользователя. А он, в свою очередь, легко вычисляется при знании почтового адреса. Но это не все. Зная идентификатор домашнего животного Pet ID, можно также без авторизации посмотреть всю доступную о нем информацию, узнать MAC-адреса и серийники используемых устройств (например, поилки или умной кормушки). Далее, зная серийник устройства, можно перехватить над ним контроль, изменить или удалить расписание кормления, включить камеру и микрофон. Производитель при общен��и с исследователем повел себя довольно странно — сначала без согласования выслал награду за обнаруженные проблемы в размере 500 долларов, потом потребовал подписать соглашение о конфиденциальности. На момент подготовки материала уязвимости закрыты в <i>новой версии</i> API, при этом старая по-прежнему доступна.
Более семи миллионов долларов в криптовалюте было похищено в результате взлома расширения Trust Wallet для браузера Google Chrome. Атака с опустошением кошельков произошла в самое «подходящее» время — в канун Рождества, 24 декабря.
В конце прошлой недели была взломана инфраструктура онлайн-игры Tom Clancy’s Rainbow Six Siege компании Ubisoft. Организаторы атаки получили доступ к ключевым функциям управления и могли произвольно банить и снимать бан с пользователей, раздавать внутреннюю валюту всем желающим и делать доступными для игроков любые предметы.
