Investigadores de ciberseguridad han revelado una vulnerabilidad de secuencias de comandos entre sitios (XSS) en el panel de control basado en web utilizado por los operadores de ladrones de información StealC. Esto nos permite recopilar información importante sobre uno de los atacantes que utiliza el malware en producción.
«Al explotar esto, pudieron recolectar huellas digitales del sistema, monitorear sesiones activas y, en un desarrollo que no sorprendió a nadie, robar cookies de la misma infraestructura para la cual fueron diseñados para robarlas», dijo el investigador de CyberArk, Ari Novik, en un informe publicado la semana pasada.
StealC es un vector de robo de información que surgió por primera vez en enero de 2023 basado en un modelo de malware como servicio (MaaS), que permite a los clientes potenciales distribuir programas maliciosos bajo la apariencia de cracks de software popular, utilizando YouTube como mecanismo principal (un fenómeno conocido como YouTube Ghost Network).
Durante el año pasado, también se observó que este ladrón se propagó a través de archivos maliciosos de Blender Foundation y una táctica de ingeniería social conocida como FileFix. Mientras tanto, StealC recibió su propia actualización, brindando integración del bot de Telegram para enviar notificaciones, mejoras en la entrega de carga útil y un panel rediseñado. La versión actualizada recibió el nombre en código StealC V2.
Unas semanas más tarde, se filtró el código fuente del panel de administración del malware, lo que brindó a la comunidad de investigación la oportunidad de identificar las características de las computadoras de los actores de amenazas, incluida su ubicación aproximada y detalles sobre el hardware de su computadora, y recuperar cookies de sesión activas de sus máquinas.
Los detalles exactos de la falla XSS en el panel no se revelan para evitar que los desarrolladores tapen el agujero u otros imitadores intenten usar el panel filtrado para lanzar sus propios servicios MaaS ladrones.
Generalmente, una falla XSS es un tipo de inyección del lado del cliente que permite a un atacante obtener un sitio web susceptible y ejecutar código JavaScript malicioso en un navegador web en la computadora de la víctima cuando se carga el sitio. Esto ocurre como resultado de que la entrada del usuario no se valida ni codifica adecuadamente, lo que permite a los atacantes robar cookies, hacerse pasar por usuarios y acceder a información confidencial.
«Dado que el negocio principal del grupo StealC incluye el robo de cookies, uno podría esperar que los desarrolladores de StealC sean expertos en cookies e implementen características básicas de seguridad de cookies como httpOnly para evitar que los investigadores roben cookies a través de XSS», dijo Novick. «La ironía es que una operación basada en el robo de cookies a gran escala no logró proteger sus propias cookies de sesión de los ataques de los libros de texto».
CyberArk también compartió detalles de un cliente de StealC llamado YouTubeTA (abreviatura de «YouTube Threat Actor»). El cliente utilizó ampliamente la plataforma para compartir videos de Google para distribuir ladrones mediante la promoción de versiones descifradas de Adobe Photoshop y Adobe After Effects, y acumuló más de 5.000 registros, incluidas 390.000 contraseñas robadas y más de 30 millones de cookies robadas. La mayoría de las cookies se clasifican como cookies de seguimiento y otras cookies no confidenciales.
Se sospecha que estos esfuerzos permitieron a los atacantes tomar el control de cuentas legítimas de YouTube y utilizarlas para promover software descifrado y crear mecanismos de propagación que se perpetúan a sí mismos. También hay pruebas de que se utilizaron señuelos CAPTCHA falsos como ClickFix para distribuir StealC, lo que sugiere que no se limitan a infecciones a través de YouTube.
Un análisis más detallado reveló que este panel permite a los operadores crear múltiples usuarios y diferenciar entre usuarios administradores y usuarios normales. En el caso de YouTubeTA, solo se sabe que aparece un usuario administrador en el panel, y se dice que este usuario está usando una máquina basada en el procesador Apple M3 con configuraciones de idioma inglés y ruso.
En lo que podría describirse como un error de seguridad operativa por parte del atacante, la información de ubicación quedó expuesta a mediados de julio de 2025 cuando el atacante olvidó conectarse al panel StealC a través de una red privada virtual (VPN). Esto reveló la dirección IP real asociada con un proveedor ucraniano llamado TRK Cable TV. Nuestros hallazgos indican que YouTubeTA es un actor solitario que opera en países de Europa del Este donde comúnmente se habla ruso.
El estudio también destaca el impacto del ecosistema MaaS. Si bien el ecosistema MaaS permite que los actores de amenazas crezcan a escala en un corto período de tiempo, también los expone involuntariamente a riesgos de seguridad a los que se enfrentan las empresas legítimas.
«Los desarrolladores de StealC han demostrado debilidades tanto en la seguridad de las cookies como en la calidad del código del panel, lo que nos permitió recopilar grandes cantidades de datos sobre nuestros clientes», dijo CyberArk. «Si esto es válido para otros atacantes que venden malware, los investigadores y las autoridades también podrían utilizar fallas similares para obtener información sobre, y tal vez incluso revelar la identidad de, muchos operadores de malware».
Source link
