Весной 2025 года специалисты по информационной безопасности зафиксировали троян Webrat, распространявшийся через игровые читы для Rust, Counter-Strike и Roblox, а также пиратские сборки программ. Осенью операторы вредоносного ПО сменили тактику: теперь Webrat распространяется через GitHub и маскируется под рабочие эксплоиты для свежих уязвимостей, в первую очередь ориентируясь на студентов и начинающих исследователей ИБ.
Эволюция трояна Webrat: от читов к «образовательным» эксплоитам
По данным исследователей, новая кампания разворачивается вокруг резонансных уязвимостей, недавно попавших в бюллетени безопасности. В описаниях вредоносных репозиториев фигурируют, в том числе, CVE-2025-59295 (оценка 8,8 по CVSS), CVE-2025-10294 (9,8 балла) и CVE-2025-59230 (7,8 балла). Для части этих уязвимостей действительно существуют публичные PoC-эксплоиты, для других — нет, но злоумышленники одинаково активно используют вокруг них информационный шум.
Подобная схема уже применялась ранее: в прошлом году аналогичный подход использовали в отношении громкой уязвимости RegreSSHion, когда в открытом доступе еще не было достоверных эксплоитов, но спрос на любой «рабочий PoC» был крайне высок. Атакующие эксплуатируют не только уязвимости в ПО, но и психологию специалистов, стремящихся быстро протестировать новые векторы атак.
Как распространяется Webrat через GitHub
Правдоподобные репозитории и нейросетевые тексты
Обнаруженные вредоносные репозитории внешне выглядят максимально легитимно. В описании содержатся структурированные разделы: обзор уязвимости, сведения о затронутых системах, пошаговые инструкции по развертыванию «эксплоита», пример синтаксиса запуска и даже типовые рекомендации по снижению рисков. Тексты однотипны, используют похожие формулировки и повторяющиеся советы, что характерно для материалов, сгенерированных при помощи нейросетей.
Для неподготовленного пользователя такой репозиторий не вызывает подозрений: есть технические детали, «документация», иногда — ссылки на официальные бюллетени. Этого достаточно, чтобы убедить студента или джуна по кибербезопасности скачать архив и запустить код, не проводя полноценный анализ.
Запароленный архив и маскировка бэкдора
В описании репозитория обычно размещается ссылка «Download Exploit ZIP», ведущая на запароленный архив, лежащий в том же репо. Пароль к архиву спрятан в имени одного из файлов внутри — пользователь вынужден распаковать содержимое и просмотреть файлы, чтобы его найти. В архиве находится четыре файла, один из которых и является загрузчиком трояна Webrat, замаскированным под компонент «эксплоита».
Такая схема сочетает техническую маскировку и элементы социальной инженерии: наличие пароля создает иллюзию «секретности» и эксклюзивности инструмента, а формат PoC убеждает жертву, что она работает с легитимным исследовательским кодом.
Функциональные возможности бэкдора Webrat
Webrat представляет собой универсальный бэкдор с широким набором функций удаленного управления и слежки. После заражения система может быть использована злоумышленниками для:
• Кражи данных: похищение информации криптовалютных кошельков, учетных данных и сессий популярных сервисов, включая Telegram, Discord и Steam. Это сразу открывает путь к финансовым потерям и компрометации личных и рабочих аккаунтов.
• Шпионажа и мониторинга: запись экрана, скрытое включение веб-камеры и микрофона, отслеживание активности пользователя. Подобный функционал позволяет собирать чувствительные данные, демонстрировать рабочие процессы, пароли, корпоративные ресурсы.
• Кейлоггинга и удаленного доступа: перехват нажатий клавиш дает атакующим возможность восстанавливать логины, пароли и другие секреты, а средства удаленного управления превращают скомпрометированную машину в полноценный узел ботнета или точку для дальнейшего продвижения в инфраструктуре.
Почему целью становятся студенты и начинающие специалисты по ИБ
Аналитики отмечают, что текущая версия Webrat не содержит принципиально новых техник и хорошо описана в публичных исследованиях. Опытный специалист, работающий с эксплоитами, как правило, проводит первичный анализ кода, запускает его в изолированной виртуальной машине или песочнице, отключает доступ к реальным данным, веб-камере и микрофону. В таких условиях Webrat легко выявляется и не представляет серьезной угрозы для инфраструктуры.
Иная ситуация — у студентов и новичков: в погоне за практикой и демонстрацией навыков они часто запускают найденные PoC напрямую на основной системе, где установлены мессенджеры, криптокошельки, игровые клиенты и рабочие инструменты. Отсутствие базовой гигиены безопасности делает их идеальной мишенью: один неосторожный запуск — и вредонос получает полный доступ к личному устройству.
Практические рекомендации по безопасной работе с эксплоитами
1. Всегда использовать изолированную среду. Любые непроверенные эксплоиты и инструменты следует запускать только в тестовой виртуальной машине или специализированной песочнице без доступа к реальным аккаунтам, документам, камере и микрофону.
2. Проверять репозитории на аномалии. Важно обращать внимание на дату создания репозитория, активность коммитов, наличие обсуждений и репутацию автора. Отсутствие истории, свежесозданный аккаунт и шаблонное описание уязвимости — поводы для дополнительной проверки.
3. Анализировать содержимое архивов. Перед запуском любых бинарных файлов стоит прогнать их через антивирус или онлайн-сервисы анализа, а при наличии исходного кода — хотя бы поверхностно просмотреть его, обращая внимание на сетевую активность, работу с файлами и попытки скрытого запуска процессов.
4. Не доверять «секретным» PoC с паролями. Запароленные архивы, обещающие эксклюзивный эксплоит для только что опубликованной CVE, должны восприниматься с особой осторожностью. Отсутствие официальных ссылок от вендора или известных исследователей — серьезный сигнал к недоверию.
5. Повышать уровень киберграмотности. Студентам и начинающим специалистам по ИБ важно включать в учебный процесс не только изучение уязвимостей и эксплоитов, но и практику безопасного анализа вредоносного кода, работы с песочницами и методов оперативного обнаружения бэкдоров.
Кампании по распространению Webrat под видом эксплоитов на GitHub демонстрируют, насколько быстро злоумышленники адаптируются к интересам сообщества и трендам в кибербезопасности. Чтобы не стать частью их статистики, имеет смысл пересмотреть собственные привычки работы с PoC, строго изолировать экспериментальную среду и уделять больше внимания проверке источников. Осознанный подход и базовые меры предосторожности снижают риск компрометации не меньше, чем самые продвинутые защитные решения.
