网络安全研究人员披露了StealC信息窃取恶意软件操作者使用的基于Web控制面板中的跨站脚本(XSS)漏洞,使他们能够收集关于使用该恶意软件进行操作的威胁行为者的重要信息。
CyberArk研究员Ari Novick在上周发布的报告中表示:"通过利用这个漏洞,我们能够收集系统指纹、监控活跃会话,并且------这个结果不会让任何人感到意外------从专门设计用来窃取Cookie的基础设施中窃取Cookie。"
StealC是一个信息窃取恶意软件,于2023年1月首次出现,采用恶意软件即服务(MaaS)模式。它允许潜在客户利用YouTube作为主要传播机制------这种现象被称为YouTube幽灵网络------通过将恶意程序伪装成流行软件的破解版来分发。
在过去一年中,该窃取软件还被观察到通过虚假的Blender Foundation文件和名为FileFix的社会工程策略进行传播。与此同时,StealC本身也收到了更新,提供了Telegram机器人集成用于发送通知、增强的载荷传递以及重新设计的面板。更新版本代号为StealC V2。
几周后,该恶意软件管理面板的源代码被泄露,为研究社区提供了识别威胁行为者计算机特征的机会,如一般位置指标和计算机硬件详细信息,以及从他们自己的机器中检索活跃会话Cookie。
面板中XSS漏洞的确切细节尚未披露,以防止开发者修补这个漏洞,或使其他模仿者能够使用泄露的面板尝试启动自己的窃取软件MaaS服务。
一般来说,XSS漏洞是一种客户端注入攻击形式,允许攻击者让易受攻击的网站在加载时在受害者计算机的Web浏览器中执行恶意JavaScript代码。这些漏洞是由于未验证和正确编码用户输入而产生的,使威胁行为者能够窃取Cookie、冒充用户并访问敏感信息。
Novick说:"考虑到StealC团队的核心业务涉及Cookie窃取,你可能会期望StealC开发者是Cookie专家,并实施基本的Cookie安全功能,如httpOnly,以防止研究人员通过XSS窃取Cookie。讽刺的是,一个建立在大规模Cookie窃取基础上的操作未能保护自己的会话Cookie免受教科书式攻击。"
CyberArk还分享了一个名为YouTubeTA("YouTube威胁行为者"的缩写)的StealC客户的详细信息,该客户广泛使用谷歌的视频分享平台通过宣传Adobe Photoshop和Adobe After Effects的破解版本来分发窃取软件,积累了超过5000个日志,包含390000个被窃取的密码和超过3000万个被窃取的Cookie。大多数Cookie被评估为跟踪Cookie和其他非敏感Cookie。
据怀疑,这些努力使威胁行为者能够夺取合法YouTube账户的控制权,并使用它们来推广破解软件,创造了一个自我延续的传播机制。还有证据表明使用了类似ClickFix的虚假验证码诱饵来分发StealC,表明他们不仅限于通过YouTube进行感染。
进一步分析确定,该面板使操作者能够创建多个用户,并区分管理员用户和普通用户。在YouTubeTA的情况下,发现面板只有一个管理员用户,据说该用户使用基于Apple M3处理器的机器,具有英语和俄语语言设置。
在可以被描述为威胁行为者操作安全失误的情况下,他们的位置在2025年7月中旬左右被暴露,当时威胁行为者忘记通过虚拟专用网络(VPN)连接到StealC面板。这暴露了他们的真实IP地址,该地址与名为TRK Cable TV的乌克兰提供商相关联。研究结果表明,YouTubeTA是一个来自俄语普遍使用的东欧国家的独狼行为者。
这项研究还强调了MaaS生态系统的影响,它使威胁行为者能够在短时间内大规模发动攻击,同时也无意中将他们暴露在合法企业面临的安全风险中。
CyberArk表示:"StealC开发者在Cookie安全和面板代码质量方面都表现出弱点,使我们能够收集大量关于其客户的数据。如果这对其他销售恶意软件的威胁行为者也成立,研究人员和执法部门都可以利用类似的漏洞来深入了解,甚至可能揭示许多恶意软件操作者的身份。"
Q&A
Q1:StealC恶意软件是什么?它是如何传播的?
A:StealC是一个信息窃取恶意软件,于2023年1月首次出现,采用恶意软件即服务模式。它主要通过YouTube平台传播,将恶意程序伪装成Adobe Photoshop等流行软件的破解版,还通过虚假的Blender Foundation文件和FileFix社会工程策略进行传播。
Q2:研究人员是如何利用StealC控制面板的漏洞的?
A:研究人员发现了StealC控制面板中的跨站脚本(XSS)漏洞,通过利用这个漏洞,他们能够收集系统指纹、监控活跃会话,并从专门设计用来窃取Cookie的基础设施中窃取Cookie,获得了威胁行为者的重要信息。
Q3:YouTubeTA威胁行为者的身份信息是如何被暴露的?
A:YouTubeTA的身份信息通过多种方式被暴露:使用基于Apple M3处理器的机器,设置英语和俄语语言;在2025年7月中旬忘记使用VPN连接面板,暴露了与乌克兰TRK Cable TV提供商相关的真实IP地址,表明是来自东欧俄语地区的独狼行为者。