Cybersecurity-onderzoekers hebben een cross-site scripting (XSS)-kwetsbaarheid onthuld in het webgebaseerde controlepaneel dat wordt gebruikt door operators van de StealC-informatiesteler, waardoor ze cruciale inzichten kunnen verzamelen over een van de bedreigingsactoren die de malware bij hun activiteiten gebruiken.
“Door er misbruik van te maken, konden we systeemvingerafdrukken verzamelen, actieve sessies monitoren en – in een wending die niemand zal verbazen – cookies stelen van de infrastructuur die is ontworpen om ze te stelen”, zei CyberArk-onderzoeker Ari Novick in een rapport dat vorige week werd gepubliceerd.
StealC is een informatiedief die voor het eerst opdook in januari 2023 onder een malware-as-a-service (MaaS)-model, waardoor potentiële klanten YouTube kunnen gebruiken als primair mechanisme (een fenomeen dat het YouTube Ghost Network wordt genoemd) om het kwaadaardige programma te verspreiden door het te vermommen als cracks voor populaire software.
Het afgelopen jaar is ook waargenomen dat de stealer werd verspreid via frauduleuze Blender Foundation-bestanden en een social engineering-tactiek die bekend staat als FileFix. StealC ontving intussen zijn eigen updates, die Telegram-botintegratie bieden voor het verzenden van meldingen, verbeterde levering van payloads en een opnieuw ontworpen paneel. De bijgewerkte versie kreeg de codenaam StealC V2.
Weken later lekte de broncode voor het beheerpaneel van de malware uit, waardoor de onderzoeksgemeenschap de mogelijkheid kreeg kenmerken van de computers van de bedreiging te identificeren, zoals algemene locatie-indicatoren en computerhardwaredetails, en actieve sessiecookies van hun eigen machines op te halen.
De exacte details van de XSS-fout in het paneel zijn niet bekendgemaakt om te voorkomen dat de ontwikkelaars het gat kunnen dichten of andere copycats in staat zullen stellen het gelekte paneel te gebruiken om te proberen hun eigen stealer MaaS-aanbod te starten.
Over het algemeen zijn XSS-fouten een vorm van injecties aan de clientzijde waarmee een aanvaller een gevoelige website ertoe kan brengen kwaadaardige JavaScript-code uit te voeren in de webbrowser op de computer van het slachtoffer wanneer de site wordt geladen. Ze ontstaan als gevolg van het niet valideren en correct coderen van gebruikersinvoer, waardoor een bedreigingsacteur cookies kan stelen, deze kan nabootsen en toegang kan krijgen tot gevoelige informatie.
“Gezien de kernactiviteit van de StealC-groep het stelen van cookies betreft, zou je van de StealC-ontwikkelaars verwachten dat ze cookie-experts zijn en elementaire cookie-beveiligingsfuncties implementeren, zoals httpOnly, om te voorkomen dat onderzoekers cookies stelen via XSS”, aldus Novick. “De ironie is dat een operatie rond grootschalige cookiediefstal er niet in slaagde de eigen sessiecookies te beschermen tegen een aanval uit het leerboek.”
CyberArk heeft ook details gedeeld van een StealC-klant genaamd YouTubeTA (afkorting van “YouTube Threat Actor”), die op grote schaal gebruik heeft gemaakt van het videodeelplatform van Google om de stealer te verspreiden door reclame te maken voor gekraakte versies van Adobe Photoshop en Adobe After Effects, waarbij hij meer dan 5.000 logs heeft verzameld die 390.000 gestolen wachtwoorden en meer dan 30 miljoen gestolen cookies bevatten. De meeste cookies worden beoordeeld als tracking cookies en andere niet-gevoelige cookies.
Het vermoeden bestaat dat deze inspanningen de bedreigingsacteur in staat hebben gesteld de controle over legitieme YouTube-accounts over te nemen en deze te gebruiken om gekraakte software te promoten, waardoor een zichzelf in stand houdend verspreidingsmechanisme ontstaat. Er zijn ook aanwijzingen die het gebruik van ClickFix-achtige nep-CAPTCHA-lokmiddelen benadrukken om StealC te verspreiden, wat erop wijst dat deze niet beperkt zijn tot infecties via YouTube.
Verdere analyse heeft uitgewezen dat operators met het paneel meerdere gebruikers kunnen aanmaken en onderscheid kunnen maken tussen admin-gebruikers en reguliere gebruikers. In het geval van YouTubeTA blijkt dat het panel slechts één admin-gebruiker bevat, die naar verluidt een Apple M3-processor-gebaseerde machine gebruikt met Engelse en Russische taalinstellingen.
In wat kan worden omschreven als een operationele veiligheidsblunder van de kant van de dreigingsactor, werd hun locatie rond midden juli 2025 onthuld toen de dreigingsactor vergat verbinding te maken met het StealC-paneel via een virtueel particulier netwerk (VPN). Hieruit bleek hun echte IP-adres, dat was gekoppeld aan een Oekraïense provider genaamd TRK Cable TV. De bevindingen geven aan dat YouTubeTA een eenzame wolf-acteur is die opereert vanuit een Oost-Europees land waar Russisch vaak wordt gesproken.
Het onderzoek onderstreept ook de impact van het MaaS-ecosysteem, dat dreigingsactoren in staat stelt om binnen korte tijd op grote schaal op te treden, terwijl ze onbedoeld ook worden blootgesteld aan veiligheidsrisico’s waarmee legitieme bedrijven te maken hebben.
“De StealC-ontwikkelaars vertoonden zwakke punten in zowel hun cookiebeveiliging als de kwaliteit van de panelcode, waardoor we veel gegevens over hun klanten konden verzamelen”, aldus CyberArk. “Als dit geldt voor andere bedreigingsactoren die malware verkopen, kunnen zowel onderzoekers als wetshandhavingsinstanties soortgelijke fouten gebruiken om inzicht te krijgen in en misschien zelfs de identiteit van veel malware-exploitanten te onthullen.”
