Des chercheurs en cybersécurité ont révélé une vulnérabilité de cross-site scripting (XSS) dans le panneau de contrôle Web utilisé par les opérateurs du voleur d'informations StealC, leur permettant de recueillir des informations cruciales sur l'un des acteurs de la menace utilisant le malware dans leurs opérations.
“En l'exploitant, nous avons pu collecter les empreintes digitales du système, surveiller les sessions actives et, ce qui ne surprendra personne, voler les cookies de l'infrastructure même conçue pour les voler”, a déclaré Ari Novick, chercheur chez CyberArk, dans un rapport publié la semaine dernière.
StealC est un voleur d'informations apparu pour la première fois en janvier 2023 sous un modèle de malware en tant que service (MaaS), qui permet aux clients potentiels d'exploiter YouTube comme mécanisme principal (un phénomène appelé YouTube Ghost Network) pour distribuer le malware en le déguisant en cracks pour des logiciels populaires.
Au cours de la dernière année, le voleur a également été observé en train de se propager via des fichiers malveillants de la Blender Foundation et une tactique d'ingénierie sociale connue sous le nom de FileFix. Pendant ce temps, StealC a reçu ses propres mises à jour, offrant l'intégration du robot Telegram pour l'envoi de notifications, une livraison améliorée des charges utiles et un tableau de bord repensé. La version mise à jour portait le nom de code StealC V2.
Quelques semaines plus tard, le code source du panneau de gestion du logiciel malveillant a été divulgué, donnant à la communauté des chercheurs la possibilité d'identifier les caractéristiques des ordinateurs des auteurs de la menace, telles que les indicateurs de localisation généraux et les détails du matériel informatique, ainsi que de récupérer les cookies de session actifs de leurs propres machines.
Les détails exacts de la faille XSS dans le panneau n'ont pas été révélés pour empêcher les développeurs de boucher le trou ou de permettre à d'autres imitateurs d'utiliser le panneau divulgué pour tenter de lancer leurs propres offres MaaS voleuses.
En général, les failles XSS sont une forme d'injections côté client qui permettent à un attaquant d'amener un site Web sensible à exécuter du code JavaScript malveillant dans le navigateur Web de l'ordinateur de la victime lors du chargement du site. Ils résultent d’une validation et d’un codage incorrects des entrées des utilisateurs, permettant à un acteur malveillant de voler des cookies, de usurper leur identité et d’accéder à des informations sensibles.
“Étant donné que l'activité principale du groupe StealC concerne le vol de cookies, on pourrait s'attendre à ce que les développeurs de StealC soient des experts en cookies et mettent en œuvre des fonctionnalités de sécurité de base en matière de cookies, telles que httpOnly, pour empêcher les chercheurs de voler des cookies via XSS”, a déclaré Novick. “L'ironie est qu'une opération basée sur le vol de cookies à grande échelle n'a pas réussi à protéger ses propres cookies de session contre une attaque classique.”
CyberArk a également partagé les détails d'un client StealC appelé YouTubeTA (abréviation de « YouTube Threat Actor »), qui a largement utilisé la plateforme de partage de vidéos de Google pour distribuer le voleur en faisant la publicité de versions crackées d'Adobe Photoshop et Adobe After Effects, rassemblant plus de 5 000 enregistrements contenant 390 000 mots de passe volés et plus de 30 millions de cookies volés. La plupart des cookies sont considérés comme des cookies de suivi et d'autres cookies non sensibles.
Ces efforts sont soupçonnés d'avoir permis à l'auteur de la menace de prendre le contrôle de comptes YouTube légitimes et de les utiliser pour promouvoir des logiciels piratés, créant ainsi un mécanisme de propagation auto-entretenu. Il existe également des preuves mettant en évidence l’utilisation de faux leurres CAPTCHA similaires à ClickFix pour distribuer StealC, suggérant qu’ils ne se limitent pas aux infections via YouTube.
Une analyse plus approfondie a déterminé que le panneau permet aux opérateurs de créer plusieurs utilisateurs et de différencier les utilisateurs administrateurs des utilisateurs réguliers. Dans le cas de YouTubeTA, le tableau de bord ne comportait qu'un seul utilisateur administrateur, censé utiliser une machine basée sur un processeur Apple M3 avec des paramètres de langue en anglais et en russe.
Dans ce qui peut être décrit comme une erreur de sécurité opérationnelle de la part de l'acteur malveillant, sa localisation a été révélée à la mi-juillet 2025 lorsque l'acteur malveillant a oublié de se connecter au panneau StealC via un réseau privé virtuel (VPN). Cela a révélé sa véritable adresse IP, associée à un fournisseur ukrainien appelé TRK Cable TV. Les résultats indiquent que YouTubeTA est un acteur isolé opérant depuis un pays d’Europe de l’Est où le russe est couramment parlé.
L’étude met également en évidence l’impact de l’écosystème MaaS, qui permet aux auteurs de menaces de prendre de l’ampleur en peu de temps, tout en les exposant par inadvertance à des risques de sécurité auxquels les entreprises légitimes sont confrontées.
“Les développeurs de StealC ont montré des faiblesses à la fois dans la sécurité des cookies et dans la qualité du code des panneaux, nous permettant de collecter une grande quantité de données sur leurs clients”, a déclaré CyberArk. “Si cela est vrai pour d'autres acteurs de la menace vendant des logiciels malveillants, les chercheurs et les forces de l'ordre peuvent profiter de failles similaires pour obtenir des informations sur de nombreux opérateurs de logiciels malveillants, et peut-être même révéler leur identité.”
