Investigadores de ciberseguridad han revelado una vulnerabilidad de secuencias de comandos entre sitios (XSS) en el panel de control basado en web utilizado por los operadores del ladrón de información StealC, lo que les permite recopilar información crucial sobre uno de los actores de amenazas que utilizan el malware en sus operaciones.
«Al explotarlo, pudimos recopilar huellas digitales del sistema, monitorear sesiones activas y, en un giro que no sorprenderá a nadie, robar cookies de la misma infraestructura diseñada para robarlas», dijo el investigador de CyberArk, Ari Novick. dicho en un informe publicado la semana pasada.
StealC es un ladrón de información que surgió por primera vez en enero de 2023 bajo un modelo de malware como servicio (MaaS), que permite a los clientes potenciales aprovechar YouTube como mecanismo principal, un fenómeno llamado Red fantasma de YouTube – distribuir el programa malicioso disfrazándolo de cracks de software popular.
Durante el año pasado, también se observó que el ladrón se propagaba a través de Archivos de la Fundación Blender y una táctica de ingeniería social conocida como ArchivoFix. Mientras tanto, StealC recibió sus propias actualizaciones, ofreciendo integración del bot de Telegram para enviar notificaciones, entrega de carga útil mejorada y un panel rediseñado. La versión actualizada recibió el nombre en código StealC V2.
Semanas más tarde, el código fuente del malware panel de administración era filtradobrindando una oportunidad para que la comunidad de investigación identifique características de las computadoras del actor de la amenaza, como indicadores de ubicación generales y detalles del hardware de la computadora, así como también recupere cookies de sesión activas de sus propias máquinas.
Los detalles exactos de la falla XSS en el panel no se han revelado para evitar que los desarrolladores tapen el agujero o permitan que otros imitadores usen el panel filtrado para intentar iniciar sus propias ofertas de MaaS ladrones.
En general, Defectos XSS son una forma de inyecciones del lado del cliente que permite a un atacante conseguir que un sitio web susceptible ejecute código JavaScript malicioso en el navegador web de la computadora de la víctima cuando se carga el sitio. Surgen como resultado de no validar y codificar correctamente la entrada del usuario, lo que permite que un actor de amenazas robe cookies, se haga pasar por ellas y acceda a información confidencial.
«Dado que el negocio principal del grupo StealC implica el robo de cookies, se podría esperar que los desarrolladores de StealC sean expertos en cookies e implementen funciones básicas de seguridad de cookies, como Sólo httppara evitar que los investigadores roben cookies a través de XSS», dijo Novick. «La ironía es que una operación basada en el robo de cookies a gran escala no logró proteger sus propias cookies de sesión de un ataque de libro de texto».
CyberArk también compartió detalles de un cliente de StealC llamado YouTubeTA (abreviatura de «YouTube Threat Actor»), que ha utilizado ampliamente la plataforma para compartir videos de Google para distribuir el ladrón mediante publicidad de versiones descifradas de Adobe Photoshop y Adobe After Effects, acumulando más de 5.000 registros que contenían 390.000 contraseñas robadas y más de 30 millones de cookies robadas. Se considera que la mayoría de las cookies son cookies de seguimiento y otras cookies no confidenciales.
Se sospecha que estos esfuerzos han permitido al actor de amenazas tomar el control de cuentas legítimas de YouTube y usarlas para promover software descifrado, creando un mecanismo de propagación que se perpetúa a sí mismo. También hay evidencia que destaca el uso de Hacer clic en arreglar-como señuelos CAPTCHA falsos para distribuir StealC, lo que sugiere que no se limitan a infecciones a través de YouTube.
Un análisis más detallado ha determinado que el panel permite a los operadores crear múltiples usuarios y diferenciar entre usuarios administradores y usuarios regulares. En el caso de YouTubeTA, se descubrió que el panel presenta solo un usuario administrador, que se dice que usa una máquina basada en el procesador Apple M3 con configuraciones de idioma inglés y ruso.
En lo que puede describirse como un error de seguridad operativa por parte del actor de amenazas, su ubicación quedó expuesta a mediados de julio de 2025 cuando el actor de amenazas olvidó conectarse al panel StealC a través de una red privada virtual (VPN). Esto reveló su dirección IP real, que estaba asociada con un proveedor ucraniano llamado TRK Cable TV. Los hallazgos indican que YouTubeTA es un actor solitario que opera desde un país de Europa del Este donde comúnmente se habla ruso.
La investigación también subraya el impacto del ecosistema MaaS, que permite a los actores de amenazas aumentar a escala en un corto período de tiempo, al tiempo que, sin darse cuenta, también los expone a riesgos de seguridad con los que se enfrentan las empresas legítimas.
«Los desarrolladores de StealC mostraron debilidades tanto en la seguridad de las cookies como en la calidad del código del panel, lo que nos permitió recopilar una gran cantidad de datos sobre sus clientes», dijo CyberArk. «Si esto es válido para otros actores de amenazas que venden malware, tanto los investigadores como las fuerzas del orden pueden aprovechar fallas similares para obtener información sobre, y tal vez incluso revelar las identidades de, muchos operadores de malware».
Fuente