Các nhà nghiên cứu an ninh mạng đã công bố một lỗ hổng cross-site scripting (XSS) trong bảng điều khiển dựa trên web được sử dụng bởi các nhà điều hành của phần mềm đánh cắp thông tin StealC, cho phép họ thu thập những thông tin chi tiết quan trọng về một trong những tác nhân đe dọa đang sử dụng phần mềm độc hại này trong các hoạt động của chúng.
“Bằng cách khai thác nó, chúng tôi đã có thể thu thập dấu vân tay hệ thống, giám sát các phiên hoạt động và – một điều bất ngờ là – đánh cắp các cookie từ chính cơ sở hạ tầng được thiết kế để đánh cắp chúng,” nhà nghiên cứu Ari Novick của CyberArk cho biết trong một báo cáo được công bố vào tuần trước.
StealC là một công cụ đánh cắp thông tin xuất hiện lần đầu vào tháng 1 năm 2023 theo mô hình malware-as-a-service (MaaS), cho phép khách hàng tiềm năng tận dụng YouTube làm cơ chế chính – một hiện tượng được gọi là YouTube Ghost Network – để phân phối chương trình độc hại bằng cách ngụy trang nó thành các bản crack phần mềm phổ biến.
Trong năm qua, công cụ đánh cắp này cũng được quan sát thấy đang được phát tán thông qua các tệp Blender Foundation giả mạo và một chiến thuật social engineering được gọi là FileFix. Trong khi đó, StealC đã nhận được các bản cập nhật riêng, cung cấp tính năng tích hợp bot Telegram để gửi thông báo, cải thiện việc phân phối payload và bảng điều khiển được thiết kế lại. Phiên bản cập nhật này được đặt tên mã là StealC V2.
Vài tuần sau, mã nguồn của bảng điều khiển quản trị của phần mềm độc hại đã bị rò rỉ, tạo cơ hội cho cộng đồng nghiên cứu xác định các đặc điểm máy tính của tác nhân đe dọa, chẳng hạn như chỉ báo vị trí chung và chi tiết phần cứng máy tính, cũng như lấy các session cookies đang hoạt động từ máy của chúng.
Các chi tiết chính xác về lỗ hổng XSS trong bảng điều khiển đã không được tiết lộ để ngăn chặn các nhà phát triển vá lỗ hổng hoặc cho phép bất kỳ kẻ bắt chước nào khác sử dụng bảng điều khiển bị rò rỉ để cố gắng bắt đầu cung cấp MaaS đánh cắp thông tin của riêng chúng.
Nói chung, các lỗ hổng XSS là một dạng client-side injections cho phép kẻ tấn công khiến một trang web dễ bị tấn công thực thi mã JavaScript độc hại trong trình duyệt web trên máy tính của nạn nhân khi trang web được tải. Chúng phát sinh do không xác thực và mã hóa đúng cách dữ liệu đầu vào của người dùng, cho phép tác nhân đe dọa đánh cắp cookie, mạo danh họ và truy cập thông tin nhạy cảm.
“Với hoạt động kinh doanh cốt lõi của nhóm StealC liên quan đến việc đánh cắp cookie, bạn có thể mong đợi các nhà phát triển StealC là chuyên gia về cookie và triển khai các tính năng bảo mật cookie cơ bản, chẳng hạn như httpOnly, để ngăn chặn các nhà nghiên cứu đánh cắp cookie thông qua XSS,” Novick nói. “Điều trớ trêu là một hoạt động được xây dựng dựa trên việc đánh cắp cookie quy mô lớn đã không bảo vệ được session cookies của chính nó khỏi một cuộc tấn công kinh điển.”
CyberArk cũng chia sẻ thông tin chi tiết về một khách hàng của StealC có tên YouTubeTA (viết tắt của "YouTube Threat Actor"), người đã sử dụng rộng rãi nền tảng chia sẻ video của Google để phân phối công cụ đánh cắp bằng cách quảng cáo các phiên bản crack của Adobe Photoshop và Adobe After Effects, thu thập hơn 5.000 nhật ký chứa 390.000 mật khẩu bị đánh cắp và hơn 30 triệu cookie bị đánh cắp. Hầu hết các cookie được đánh giá là tracking cookies và các cookie không nhạy cảm khác.
Người ta nghi ngờ rằng những nỗ lực này đã cho phép tác nhân đe dọa chiếm quyền kiểm soát các tài khoản YouTube hợp pháp và sử dụng chúng để quảng bá phần mềm crack, tạo ra một cơ chế phát tán tự duy trì. Cũng có bằng chứng nhấn mạnh việc sử dụng các mồi nhử CAPTCHA giả mạo giống ClickFix để phân phối StealC, cho thấy chúng không bị giới hạn trong các lây nhiễm qua YouTube.
Phân tích thêm đã xác định rằng bảng điều khiển cho phép các nhà điều hành tạo nhiều người dùng và phân biệt giữa người dùng admin và người dùng thông thường. Trong trường hợp của YouTubeTA, bảng điều khiển được phát hiện chỉ có một người dùng admin, người được cho là đang sử dụng máy tính dựa trên bộ xử lý Apple M3 với cài đặt ngôn ngữ tiếng Anh và tiếng Nga.
Điều có thể được mô tả là một sai lầm về operational security của tác nhân đe dọa, vị trí của chúng đã bị lộ vào khoảng giữa tháng 7 năm 2025 khi tác nhân đe dọa quên kết nối với bảng điều khiển StealC thông qua một virtual private network (VPN). Điều này đã tiết lộ địa chỉ IP thực của chúng, vốn liên quan đến một nhà cung cấp ở Ukraine tên là TRK Cable TV. Các phát hiện cho thấy YouTubeTA là một tác nhân đơn độc hoạt động từ một quốc gia Đông Âu nơi tiếng Nga thường được nói.
Nghiên cứu cũng nhấn mạnh tác động của hệ sinh thái MaaS, vốn trao quyền cho các tác nhân đe dọa thực hiện các cuộc tấn công quy mô lớn trong một thời gian ngắn, đồng thời vô tình khiến chúng phải đối mặt với các rủi ro bảo mật mà các doanh nghiệp hợp pháp phải đối phó.
“Các nhà phát triển StealC đã thể hiện những điểm yếu trong cả bảo mật cookie và chất lượng mã bảng điều khiển của họ, cho phép chúng tôi thu thập một lượng lớn dữ liệu về khách hàng của họ,” CyberArk cho biết. “Nếu điều này đúng với các tác nhân đe dọa khác đang bán phần mềm độc hại, các nhà nghiên cứu và cơ quan thực thi pháp luật đều có thể tận dụng những lỗ hổng tương tự để thu thập thông tin chi tiết và thậm chí có thể tiết lộ danh tính của nhiều nhà điều hành phần mềm độc hại.”
