北京
StealC 信息竊取惡意軟件運營商所使用的基于 Web 的控制面板中存在一個 跨站腳本(XSS)漏洞,該漏洞允許研究人員觀察活躍會話,并收集攻擊者的硬件情報。
StealC 于 2023 年初在暗網網絡犯罪頻道上通過激進推廣而興起。憑借其規避檢測和廣泛的數據竊取能力,它迅速流行起來。
在隨后的幾年里,StealC 的開發者不斷進行多項增強。去年 4 月發布 2.0 版本時,惡意軟件作者引入了 Telegram 機器人支持以實現實時警報,并推出了一個新的構建器,可基于模板和自定義數據竊取規則生成 StealC 樣本。
大約在同一時間,該惡意軟件管理面板的源代碼被泄露,這為研究人員提供了分析機會。
CyberArk的研究人員發現了一個 XSS 漏洞,利用該漏洞,他們能夠收集 StealC 運營商的瀏覽器和硬件指紋,觀察活躍會話,竊取面板的會話 Cookie,并遠程劫持面板會話。
The StealC 構建面板
為了防止 StealC 運營商迅速查明并修復該漏洞,CyberArk 未披露有關該 XSS 漏洞的具體技術細節。重點介紹了一位名為 “YouTubeTA”的 StealC 客戶案例。該客戶可能利用泄露的憑證劫持了舊的、合法的 YouTube 頻道,并植入了感染鏈接。
這名網絡犯罪分子在整個 2025 年期間運行惡意軟件活動,收集了超過5,000 條受害者日志,竊取了約39 萬個密碼和3000 萬個Cookie(其中大部分是非敏感的)。
YouTubeTA的標記頁面
來自威脅者面板的截圖顯示,大多數感染發生在受害者搜索Adobe Photoshop和Adobe After Effects的破解版本時。
通過利用 XSS 漏洞,研究人員能夠確定該攻擊者使用的是基于Apple M3的系統,語言設置為英語和俄語,使用東歐時區,并通過烏克蘭訪問互聯網。
當威脅者忘記通過 VPN 連接 StealC 面板時,其位置就會暴露,泄露了他們的真實 IP 地址,該地址與烏克蘭 ISP TRK Cable TV相關聯。
CyberArk 指出,惡意軟件即服務(MaaS)平臺雖然能實現快速擴展,但也給威脅者帶來了巨大的暴露風險。
參考及來源:https://www.bleepingcomputer.com/news/security/stealc-hackers-hacked-as-researchers-hijack-malware-control-panels/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
