Los investigadores de ciberseguridad han descubierto una vulnerabilidad de secuencias de comandos entre sitios (XSS) en el panel de control basado en la web utilizado por los operadores del ladrón de información StealC, lo que les permite recopilar información crucial sobre uno de los actores de amenazas que utilizan el malware en sus operaciones.
«Al explotarlo, pudimos recopilar las huellas digitales del sistema, monitorear las sesiones activas y, en un giro que no sorprenderá a nadie, robar cookies de la misma infraestructura diseñada para robarlas», dijo Ari Novick, investigador de CyberArk dijo en un informe publicado la semana pasada.
StealC es un ladrón de información que surgió por primera vez en enero de 2023 bajo un modelo de malware como servicio (MaaS), que permitía a los clientes potenciales aprovechar YouTube como mecanismo principal, un fenómeno denominado Red fantasma de YouTube — distribuir el programa malicioso disfrazándolo de crack para software popular.
Durante el año pasado, también se observó que el ladrón se propagaba de forma clandestina. Archivos de la Fundación Blender y una táctica de ingeniería social conocida como Solución de archivos . Mientras tanto, StealC recibió sus propias actualizaciones, que ofrecían la integración de bots de Telegram para enviar notificaciones, una mejor entrega de la carga útil y un panel rediseñado. La versión actualizada recibió el nombre en código StealC V2.
Semanas después, el código fuente del malware panel de administración era filtrado , lo que brinda a la comunidad investigadora la oportunidad de identificar las características de las computadoras del actor de la amenaza, como los indicadores de ubicación generales y los detalles del hardware de la computadora, así como de recuperar las cookies de sesión activas de sus propias máquinas.
No se han revelado los detalles exactos de la falla del XSS en el panel para evitar que los desarrolladores tapen el agujero o permitan a otros imitadores utilizar el panel filtrado para intentar crear sus propias ofertas de MaaS más robadoras.
En general, Defectos de XSS son una forma de inyecciones del lado del cliente que permite a un atacante hacer que un sitio web susceptible ejecute código JavaScript malicioso en el navegador web del ordenador de la víctima cuando se carga el sitio. Surgen porque no se validan ni codifican correctamente las entradas de los usuarios, lo que permite a un agente de amenazas robar cookies, hacerse pasar por ellas y acceder a información confidencial.
«Dado que la actividad principal del grupo StealC es el robo de cookies, cabe esperar que los desarrolladores de StealC sean expertos en cookies e implementen funciones básicas de seguridad de cookies, como Solo HTTP , para evitar que los investigadores roben cookies a través de XSS», dijo Novick. «Lo irónico es que una operación basada en el robo de cookies a gran escala no logró proteger sus propias cookies de sesión de un ataque a libros de texto».
CyberArk también compartió detalles sobre un cliente de StealC llamado YouTubeTA (abreviatura de «YouTube Threat Actor»), que ha utilizado ampliamente la plataforma de intercambio de vídeos de Google para distribuir al ladrón anunciando versiones descifradas de Adobe Photoshop y Adobe After Effects, acumulando más de 5000 registros que contenían 390 000 contraseñas robadas y más de 30 millones de cookies robadas. La mayoría de las cookies se consideran cookies de seguimiento y otras cookies no sensibles.
Se sospecha que estos esfuerzos han permitido al actor de la amenaza hacerse con el control de cuentas legítimas de YouTube y utilizarlas para promocionar software descifrado, creando un mecanismo de propagación que se autoperpetúa. También hay pruebas que destacan el uso de Haga clic en Fijar como señuelos CAPTCHA falsos para distribuir StealC, lo que sugiere que no se limitan a las infecciones a través de YouTube.
Un análisis más detallado ha determinado que el panel permite a los operadores crear varios usuarios y diferenciar entre usuarios administradores y usuarios normales. En el caso de YouTubeTA, se ha descubierto que el panel solo cuenta con un usuario administrador, que se dice que utiliza una máquina equipada con el procesador Apple M3 con configuraciones de idioma inglés y ruso.
En lo que puede describirse como un error de seguridad operativa por parte del actor de la amenaza, su ubicación quedó expuesta a mediados de julio de 2025, cuando el actor de la amenaza olvidó conectarse al panel StealC a través de una red privada virtual (VPN). Esto reveló su dirección IP real, que estaba asociada a un proveedor ucraniano llamado TRK Cable TV. Los hallazgos indican que YouTubeTA es un actor de lobos solitarios que opera desde un país de Europa del Este donde comúnmente se habla ruso.
La investigación también subraya el impacto del ecosistema de MaaS, que permite a los actores de amenazas crecer a gran escala en un corto período de tiempo y, al mismo tiempo, los expone inadvertidamente a los riesgos de seguridad a los que se enfrentan las empresas legítimas.
«Los desarrolladores de StealC mostraron debilidades tanto en la seguridad de las cookies como en la calidad del código del panel, lo que nos permitió recopilar una gran cantidad de datos sobre sus clientes», afirma CyberArk. «Si esto es válido para otros actores de amenazas que venden malware, tanto los investigadores como las fuerzas del orden pueden aprovechar defectos similares para obtener información sobre muchos operadores de malware y, tal vez, incluso revelar su identidad».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS