Навесні 2025 року троян Webrat привернув увагу фахівців з інформаційної безпеки завдяки масовому поширенню через чити до ігор Rust, Counter-Strike та Roblox, а також через піратські збірки програм. Восени оператори шкідливого ПЗ змінили тактику: тепер Webrat маскується під «робочі» експлоїти для свіжих уразливостей та активно розповсюджується через GitHub, орієнтуючись насамперед на студентів і початківців у сфері кібербезпеки.
Еволюція Webrat: від читів до «освітніх» PoC-експлойтів
Поточна кампанія зав’язана на резонансних CVE‑уразливостях, які нещодавно з’явилися в бюлетенях безпеки. У описах шкідливих репозиторіїв згадуються, зокрема, CVE-2025-59295 (CVSS 8,8), CVE-2025-10294 (CVSS 9,8) та CVE-2025-59230 (CVSS 7,8). Для частини цих уразливостей дійсно існують публічні PoC, для інших – ні, однак зловмисники однаково використовують інформаційний шум навколо «гарячих» CVE.
Подібний підхід уже застосовувався раніше. Так, у разі з уразливістю RegreSSHion з’явилася хвиля нібито робочих PoC, коли в спільноті ще не було перевірених експлойтів, але попит на них був максимальним. Атакувальні кампанії такого типу експлуатують не лише вади в програмному забезпеченні, а й психологічний фактор – прагнення фахівців якомога швидше протестувати нові вектори атак.
Як Webrat поширюється через GitHub
Правдоподібні репозиторії та нейромережевий контент
Виявлені репозиторії з Webrat виглядають максимально легітимно. У README зазвичай присутні:
– стислий огляд уразливості й моделі загроз;
– опис затронутих систем та версій ПЗ;
– покрокова інструкція розгортання «експлоїта»;
– приклади синтаксису запуску;
– базові рекомендації з мінімізації ризиків.
Тексти структуровані, але шаблонні: повторюються однакові фрази та рекомендації, що характерно для матеріалів, згенерованих за допомогою нейромережевих інструментів. Для недосвідченого користувача така сторінка виглядає цілком переконливо – є технічні деталі, посилання на офіційні бюлетені та «документація».
У результаті студенти, стажери чи junior‑фахівці часто сприймають репозиторій як навчальний ресурс, завантажують архів і запускають код без повноцінного аналізу.
Запаролений архів і прихований завантажувач бекдора
Ключовим елементом ланцюжка інфікування є посилання «Download Exploit ZIP», яке веде на зашифрований паролем ZIP‑архів з файлами PoC. Пароль не вказаний явно – його заховано в імені одного з файлів усередині архіву, що змушує користувача розпаковувати вміст і переглядати файли.
Усередині архіву зазвичай міститься чотири файли, один із яких є завантажувачем трояна Webrat, замаскованим під компонент експлойта. Така схема поєднує технічну маскування та соціальну інженерію: пароль створює ілюзію «закритого» інструмента, а формат PoC переконує, що йдеться про легітимний дослідницький код.
Можливості бекдора Webrat: що отримує зловмисник
Webrat – це багатофункціональний бекдор із повним набором інструментів віддаленого керування та стеження. Після успішного запуску шкідливий код забезпечує атакувальному боку такий функціонал:
Крадіжка даних. Webrat орієнтований на викрадення даних криптовалютних гаманців, облікових записів і сесій популярних сервісів: Telegram, Discord, Steam тощо. Компрометація таких даних напряму веде до фінансових втрат та захоплення як особистих, так і робочих акаунтів.
Шпигунство та моніторинг. Бекдор може записувати екран, непомітно активувати вебкамеру й мікрофон, відстежувати активність користувача. Це дозволяє збирати чутливу інформацію: службові документи, паролі, доступ до корпоративних систем.
Кейлоггінг і віддалений доступ. Перехоплення натискань клавіш дає можливість відновити логіни, паролі й інші секрети. Функції віддаленого керування перетворюють інфіковану машину на елемент ботнету або плацдарм для подальшого руху в мережевій інфраструктурі.
Чому основною ціллю стали студенти та початківці з кібербезпеки
Поточні версії Webrat не демонструють принципово нових технік ухилення та вже непогано описані в публічних дослідженнях. Досвідчені дослідники зазвичай запускають потенційно небезпечні інструменти лише у ізольованих середовищах – віртуальних машинах чи песочницях без доступу до реальних даних, камер та мікрофонів. У таких умовах Webrat легко виявляється та має обмежений вплив.
Натомість студенти та junior‑фахівці нерідко тестують знайдені PoC безпосередньо на основній робочій системі, де зберігаються месенджери, криптогаманці, ігрові клієнти й робочі інструменти. Відсутність базової кібергігієни робить їх ідеальною мішенню: один необережний запуск – і бекдор отримує повний контроль над особистим пристроєм.
Практичні рекомендації: як безпечно працювати з експлойтами та PoC
1. Використовуйте ізольовані середовища. Будь‑який неперевірений експлойт або інструмент має запускатися лише у тестовій віртуальній машині чи спеціалізованій песочниці без доступу до реальних облікових записів, документів, вебкамери та мікрофона.
2. Оцінюйте репозиторії критично. Звертайте увагу на дату створення репозиторію, історію комітів, наявність обговорень, репутацію автора. Свіжостворений акаунт, відсутність історії та шаблонний опис уразливості – привід провести додаткову перевірку.
3. Аналізуйте вміст архівів та бінарників. Перед запуском бінарних файлів варто перевірити їх антивірусом чи онлайн-сервісами аналізу, а при наявності вихідного коду – хоча б поверхнево проінспектувати його. Особливу увагу слід приділяти мережевій активності, роботі з файлами та спробам прихованого запуску процесів.
4. Ставтеся з підозрою до «секретних» PoC. Запаролені архіви з обіцянками «ексклюзивного» експлойта для щойно опублікованої CVE мають розглядатися як високоризиковані. Відсутність офіційних посилань від вендора чи відомих дослідників безпеки – серйозний сигнал недовіри.
5. Розвивайте кіберграмотність. У навчальних програмах з кібербезпеки варто приділяти увагу не лише вивченню уразливостей та експлойтів, а й безпечним методам аналізу шкідливого коду, використанню песочниць і технікам швидкого виявлення бекдорів.
Кампанія з поширення Webrat під виглядом експлойтів на GitHub демонструє, наскільки швидко зловмисники адаптуються до інтересів спільноти та трендів у кібербезпеці. Щоб не стати частиною їхньої статистики, варто критично ставитися до будь-яких PoC, суворо ізолювати середовище для експериментів і перевіряти джерела отриманого коду. Усвідомлений підхід та базові практики кібергігієни часто знижують ризики компрометації не менш ефективно, ніж найдорожчі засоби захисту, і особливо важливі для тих, хто лише робить перші кроки в інформаційній безпеці.
