Un nuovo allerta si è diffuso tra gli esperti di sicurezza informatica riguardo a Webrat, un malware che ha recentemente cambiato le sue modalità di distribuzione. Dopo essere stato identificato per la prima volta all’inizio di, questo software malevolo ha trovato un nuovo canale di propagazione: GitHub. I cybercriminali hanno approfittato dei repository di codice per ingannare gli sviluppatori e i ricercatori di sicurezza, promettendo exploit per vulnerabilità note.
La minaccia rappresentata da Webrat
Webrat è un malware molto insidioso, progettato per rubare informazioni sensibili e compromettere la privacy degli utenti. Originariamente, questo software maligno si diffondeva attraverso programmi pirata e cheat per giochi come Roblox, Counter-Strike e Rust. Tuttavia, a partire da, gli attaccanti hanno iniziato a sfruttare 15 repository su GitHub, presentando exploit per tre vulnerabilità specifiche: CVE-2025-59295, CVE-2025-59230 e CVE-2025-10294.
Le vulnerabilità sfruttate
Le falle di sicurezza individuate includono un buffer overflow in Windows e un bypass dell’autenticazione nel plugin OwnID Passwordless Login per WordPress. Gli hacker hanno pubblicato documentazione che illustra come sfruttare queste vulnerabilità, rendendo tutto apparentemente legittimo. Le informazioni erano strutturate in modo tale da sembrare generate da un’intelligenza artificiale, conferendo un aspetto professionale ai repository.
Meccanismi di distribuzione e funzionalità del malware
Il malware Webrat è stato distribuito attraverso archivi ZIP protetti da password. All’interno di questi file si trovava una DLL apparentemente innocua, un file batch e un eseguibile che fungeva da dropper. Quest’ultimo aveva il compito di elevare i privilegi di sistema, disabilitare il Windows Defender e scaricare il vero payload di Webrat da un server controllato dagli aggressori.
Funzionalità malevole
Una volta attivato, Webrat si comporta come un infostealer, raccogliendo dati da piattaforme come Telegram, Discord, Steam e portafogli di criptovalute. Tra le sue capacità ci sono la registrazione dei tasti premuti, la cattura di screenshot e l’attivazione del microfono e della webcam, consentendo un accesso remoto completo al dispositivo dell’utente.
Target e impatto sulla sicurezza
Secondo le analisi condotte da Kaspersky, i principali bersagli della campagna di Webrat includono studenti e sviluppatori alle prime armi. Questi ultimi, in cerca di risorse per migliorare le proprie competenze, potrebbero facilmente cadere nella trappola degli aggressori. I ricercatori di sicurezza, durante l’analisi degli exploit, operano in ambienti controllati, il che limita i danni potenziali associati a Webrat.
Tuttavia, la semplice rimozione dei repository malevoli da GitHub non elimina la minaccia. Gli attaccanti possono facilmente aprire nuovi account e riproporre le stesse tecniche di inganno. Pertanto, è fondamentale che gli sviluppatori e i professionisti IT eseguano codice e exploit solo in ambienti isolati, come macchine virtuali o sandbox, evitando di utilizzare sistemi in produzione o con dati sensibili.
Considerazioni finali
Webrat rappresenta un’evoluzione nella distribuzione di malware, con una strategia che si è affinata nel tempo. La sua capacità di mascherarsi da exploit legittimi su GitHub è un chiaro indicativo di quanto i cybercriminali stiano diventando sofisticati. La comunità di sicurezza informatica deve rimanere vigile e adottare misure preventive per proteggere i propri sistemi e dati.
