Investigadores de ciberseguridad han revelado una vulnerabilidad de secuencias de comandos entre sitios (XSS) en el panel de control basado en web utilizado por los operadores del chorizo de información StealC, lo que les permite compilar información crucial sobre uno de los actores de amenazas que utilizan el malware en sus operaciones.
“Al explotarlo, pudimos compilar huellas digitales del sistema, monitorear sesiones activas y, en un libramiento que no sorprenderá a nadie, robar cookies de la misma infraestructura diseñada para robarlas”, dijo el investigador de CyberArk, Ari Novick, en un crónica publicado la semana pasada.
StealC es un chorizo de información que surgió por primera vez en enero de 2023 bajo un maniquí de malware como servicio (MaaS), que permite a los clientes potenciales disfrutar YouTube como mecanismo principal (un aberración llamado YouTube Ghost Network) para distribuir el software astuto disfrazándolo de cracks para software popular.
Durante el año pasado, todavía se observó que el chorizo se propagaba a través de archivos maliciosos de la Fundación Blender y una táctica de ingeniería social conocida como FileFix. Mientras tanto, StealC recibió sus propias actualizaciones, ofreciendo integración del bot de Telegram para cursar notificaciones, entrega de carga útil mejorada y un panel rediseñado. La lectura actualizada recibió el nombre en código StealC V2.
Semanas más tarde, se filtró el código fuente del panel de distribución del malware, lo que brindó a la comunidad de investigación la oportunidad de identificar características de las computadoras del actor de la amenaza, como indicadores de ubicación generales y detalles del hardware de la computadora, así como recuperar cookies de sesión activas de sus propias máquinas.
Los detalles exactos de la rotura XSS en el panel no se han revelado para evitar que los desarrolladores tapen el agujero o permitan que otros imitadores usen el panel filtrado para intentar iniciar sus propias ofertas de MaaS ladrones.
En común, las fallas XSS son una forma de inyecciones del flanco del cliente que permiten a un atacante conquistar que un sitio web susceptible ejecute código JavaScript astuto en el navegador web de la computadora de la víctima cuando se carga el sitio. Surgen como resultado de no validar y codificar correctamente la entrada del legatario, lo que permite que un actor de amenazas robe cookies, se haga advenir por ellas y acceda a información confidencial.
“Cubo que el negocio principal del comunidad StealC implica el robo de cookies, se podría esperar que los desarrolladores de StealC sean expertos en cookies e implementen características básicas de seguridad de cookies, como httpOnly, para evitar que los investigadores roben cookies a través de XSS”, dijo Novick. “La ironía es que una operación basada en el robo de cookies a gran escalera no logró proteger sus propias cookies de sesión de un ataque de vademécum de texto”.
CyberArk todavía compartió detalles de un cliente de StealC llamado YouTubeTA (sigla de “YouTube Threat Actor”), que ha utilizado ampliamente la plataforma para compartir videos de Google para distribuir el chorizo mediante publicidad de versiones descifradas de Adobe Photoshop y Adobe After Effects, acumulando más de 5.000 registros que contenían 390.000 contraseñas robadas y más de 30 millones de cookies robadas. Se considera que la mayoría de las cookies son cookies de seguimiento y otras cookies no confidenciales.
Se sospecha que estos esfuerzos han permitido al actor de amenazas tomar el control de cuentas legítimas de YouTube y usarlas para promover software descifrado, creando un mecanismo de propagación que se perpetúa a sí mismo. Todavía hay evidencia que destaca el uso de señuelos CAPTCHA falsos similares a ClickFix para distribuir StealC, lo que sugiere que no se limitan a infecciones a través de YouTube.
Un estudio más detallado ha determinado que el panel permite a los operadores crear múltiples usuarios y diferenciar entre usuarios administradores y usuarios regulares. En el caso de YouTubeTA, se descubrió que el panel presenta solo un legatario administrador, que se dice que usa una máquina basada en el procesador Apple M3 con configuraciones de idioma inglés y ruso.
En lo que puede describirse como un error de seguridad operativa por parte del actor de amenazas, su ubicación quedó expuesta a mediados de julio de 2025 cuando el actor de amenazas olvidó conectarse al panel StealC a través de una red privada posible (VPN). Esto reveló su dirección IP positivo, que estaba asociada con un proveedor ucraniano llamado TRK Cable TV. Los hallazgos indican que YouTubeTA es un actor solitario que opera desde un país de Europa del Este donde comúnmente se deje ruso.
La investigación todavía subraya el impacto del ecosistema MaaS, que permite a los actores de amenazas aumentar a escalera en un corto período de tiempo, al tiempo que, sin darse cuenta, todavía los expone a riesgos de seguridad con los que se enfrentan las empresas legítimas.
“Los desarrolladores de StealC mostraron debilidades tanto en la seguridad de las cookies como en la calidad del código del panel, lo que nos permitió compilar una gran cantidad de datos sobre sus clientes”, dijo CyberArk. “Si esto es válido para otros actores de amenazas que venden malware, tanto los investigadores como las fuerzas del orden pueden disfrutar fallas similares para obtener información sobre, y tal vez incluso revelar las identidades de, muchos operadores de malware”.
