Webrat: quando la voglia di imparare sicurezza informatica diventa un vettore d’attacco

C’è un momento preciso, quasi sempre notturno, in cui la curiosità supera la prudenza. Un repository appena aperto, poche stelle ma un exploit dal punteggio altissimo, il file README scritto bene quanto basta da sembrare vero.

È lì che questa storia prende forma. Webrat non si limita a infettare macchine: intercetta ambizioni acerbe, l’urgenza di “provare subito”, il desiderio di sentirsi parte di una cerchia tecnica che conta. Non più gamer in cerca di scorciatoie, ma studenti e ricercatori alle prime armi, convinti che eseguire un PoC sul proprio sistema sia un rito di passaggio.

La trappola funziona perché parla il linguaggio giusto, usa numeri, sigle, dettagli. E perché promette qualcosa che, nel mondo della sicurezza, vale più di una vittoria a un videogioco: capire prima degli altri.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un’astuta campagna malware inizialmente progettata per ingannare i giocatori si è trasformata in una pericolosa trappola per aspiranti professionisti della sicurezza informatica. Un nuovo report di Kaspersky Labs rivela che gli autori del malware Webrat hanno cambiato strategia, prendendo di mira studenti e ricercatori inesperti, camuffando la loro backdoor da exploit proof-of-concept (PoC) per vulnerabilità di alto profilo .

“A settembre gli aggressori hanno deciso di ampliare la loro rete: oltre ai giocatori e agli utenti di software pirata, ora prendono di mira anche professionisti e studenti inesperti nel campo della sicurezza informatica”, avverte il rapporto .

La campagna, intensificatasi nell’ottobre 2025, sfrutta la curiosità e l’urgenza della comunità della sicurezza , offrendo codice “funzionante” per vulnerabilità critiche che spesso non sono sfruttate pubblicamente.

Le esche erano meticolosamente studiate per creare fiducia. “Gli aggressori piazzavano le loro trappole sia con vulnerabilità prive di exploit funzionante, sia con vulnerabilità che ne avevano già uno”. Incorporando “informazioni dettagliate sulle vulnerabilità nelle descrizioni”, facevano apparire i repository legittimi anche a un occhio inesperto.

Webrat è comparso per la prima volta all’inizio del 2025, estendendo la sua rete agli utenti comuni. Inizialmente, gli aggressori nascondevano il malware all’interno di “trucchi per giochi popolari come Rust, Counter-Strike e Roblox, o sotto forma di software craccato”. Tuttavia, a partire da settembre, il gruppo ha cambiato tattica per dare la caccia a una preda più tecnica.

Per eseguire questa operazione, gli aggressori hanno creato repository GitHub dannosi, popolandoli con falsi exploit per vulnerabilità con punteggi CVSS elevati. Tra queste, CVE-2025-59295 (CVSS 8.8), CVE-2025-10294 (CVSS 9.8) e CVE-2025-59230 (CVSS 7.8).

Nonostante l’esca sofisticata, il malware in sé rimane invariato: una backdoor di base. Il successo dell’attacco dipende interamente dalla volontà della vittima di eseguire codice non verificato.

“Questi attacchi prendono chiaramente di mira gli utenti che vorrebbero eseguire l’exploit direttamente sui loro computer, aggirando i protocolli di sicurezza di base”, conclude il rapporto.

Gli esperti di sicurezza raccomandano ai ricercatori di analizzare sempre i nuovi exploit in ambienti virtuali isolati ed evitare di aggiungere regole di esclusione al software antivirus senza la certezza assoluta.

La forza della campagna non sta nel malware, che resta banale, quasi deludente.

Sta nel contesto. Nel momento storico in cui le vulnerabilità critiche diventano moneta di scambio e l’ansia di restare indietro spinge a saltare passaggi fondamentali.

Webrat prospera su esecuzioni frettolose, su macchine non isolate, su antivirus disattivati “solo per un attimo”. È un attacco che non forza porte, le trova già aperte. E mentre i professionisti più esperti riconoscono l’inganno, la vera vittima è chi sta imparando, chi confonde l’audacia con la competenza. In questo spazio fragile tra studio e imprudenza, la backdoor entra senza fare rumore.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.