HackerNews 编译，转载请注明出处： StealC信息窃取恶意软件操作者使用的基于网络的控制面板中存在一个跨站脚本（XSS）漏洞，该漏洞使得研究人员能够观察活跃会话并收集有关攻击者硬件的相关信息。 StealC于2023年初出现，并在暗网网络犯罪渠道上进行了大力推广。由于其规避检测和广泛的数据窃取能力，它逐渐流行起来。 在随后的几年里，StealC的开发者进行了多次功能增强。去年4月发布2.0版本时，恶意软件作者引入了用于实时警报的Telegram机器人支持，以及一个新的生成器，该生成器可以基于模板和自定义的数据窃取规则来生成StealC版本。 在那段时间，该恶意软件管理面板的源代码遭到泄露，给研究人员提供了分析它的机会。 CyberArk的研究人员还发现了一个XSS漏洞，使他们能够收集StealC操作者的浏览器和硬件指纹、观察活跃会话、从面板窃取会话cookie，并远程劫持面板会话。 研究人员表示：”通过利用该漏洞，我们能够识别威胁行为者计算机的特征，包括大致位置指标和计算机硬件详细信息。此外，我们还能够获取活跃的会话cookie，这使我们能够从自己的机器上控制这些会话。” CyberArk没有透露关于该XSS漏洞的具体细节，以防止StealC操作者迅速定位并修复它。 报告重点介绍了一个被称为’YouTubeTA’的StealC客户案例。该攻击者可能使用被盗凭证劫持了旧的、合法的YouTube频道，并植入了感染链接。这名网络犯罪分子在2025年全年运行恶意软件活动，收集了超过5000份受害者日志，窃取了大约39万个密码和3000万个cookie（其中大部分不敏感）。 从威胁行为者面板的截图来看，大多数感染发生在受害者搜索Adobe Photoshop和Adobe After Effects的破解版本时。 通过利用XSS漏洞，研究人员能够确定攻击者使用的是一台基于Apple M3芯片的系统，系统语言设置为英语和俄语，使用东欧时区，并且通过乌克兰访问互联网。当威胁行为者忘记通过VPN连接StealC面板时，他们的位置暴露了。这揭示了他们的真实IP地址，该地址与乌克兰ISP TRK Cable TV有关联。 CyberArk指出，恶意软件即服务平台虽然能实现快速扩张，但也给威胁行为者带来了重大的暴露风险。 BleepingComputer已联系CyberArk，询问他们为何选择现在公开StealC的XSS漏洞。研究员Ari Novick表示，他们希望扰乱该恶意软件的运营，因为”近几个月来StealC操作者的数量激增，可能是对几个月前围绕Lumma恶意软件的风波作出的反应。通过公布XSS漏洞的存在，我们希望在恶意软件操作者重新评估是否使用它时，至少能对StealC恶意软件的使用造成一些干扰。由于现在操作者相对较多，这似乎是一个可能对MaaS市场造成相当大扰动的绝佳机会。” 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Bleeping Computer 网站披露，暗网市场出现了一个名为 Stealc 的新恶意软件，由于大肆宣传窃取信息的能力，以及与 Vidar、Raccoon、Mars 和 Redline 等同类恶意软件具有相似性，获得行业内广泛关注。 据悉，2023 年 1 月，网络威胁情报公司 SEKOIA 安全研究人员首次发现了 Stealc ，一个月后，观察到该恶意软件开始进行恶意活动。 Stealc 恶意软件在暗网上大肆推广 最早，一位名叫 Plymouth 的用户在黑客论坛上发布了大量有关 Stealc 的“广告”，宣称其是一种具有广泛数据窃取能力以及具有易使用管理面板的恶意软件。 暗网上宣传 Stealc 的帖子 (SEKOIA) 从“广告”内容来看，Stealc 除了能针对网络浏览器数据、扩展程序和加密货币钱包等典型目标外，还有一个可定制化的文件抓取器，能够人为设置想要窃取的任意文件类型。 发布最初的“宣传广告”后，Plymouth 陆续在其它黑客论坛上大肆推广 Stealc 恶意软件，以期向潜在客户提供测试样本，达成交易。 此外，Plymouth 还特地建立一个 Telegram 频道，专门发布 Stealc 新版本的更新日志（最新版本为 V1.3.0，于 2023 年 2 月 11 日发布），需要警惕的是，该恶意软件正在疯狂迭代中，几乎每周都会推出更新版本。 某些帖子中，Plymouth 指出 Stealc 恶意软件并非从零开发，而是基于 Vidar、Raccoon、Mars 和 Redline 等恶意软件优化而来。研究人员对 Stealc 深入分析后发现，该恶意软件和 Vidar、Raccoon 和 Mars 等确实有相似之处，几者都是通过下载合法的第三方 DLL（如sqlite3.dll、nss3.dll），来窃取受害者敏感数据。 Stealc 的功能 今年 1 月首次发布以来，Stealc 更新了许多功能，其中包括随机化 C2  URL 的系统、更好的日志（被盗文件）搜索和排序系统，以及乌克兰受害者自动排除系统。 恶意软件开发时间线（SEKOIA） SEKOIA 通过分析捕获的样本，发现 Stealc 的部分特征如下。 轻量级构建：只有 80KB 使用合法的第三方 DLLs 用 C 语言编写，滥用 Windows API 函数 大多数字符串用 RC4 和 base64 进行混淆 能够自动渗出被盗数据 攻击目标：22 个网络浏览器、75 个插件和 25 个桌面钱包。 部署过程中，Stealc 恶意软件会对自身字符串进行解密，并执行反分析检查，以确保其不会在虚拟环境或沙盒中运行。之后，立刻动态加载 WinAPI 函数并启动与 C2 服务器的通信，在第一条信息中发送受害者的硬件标识符和构建名称，并接收响应配置。 目标浏览器的配置指令（SEKOIA） 接下来，Stealc 开始从目标浏览器、扩展程序和应用程序中收集数据，如果处于激活状态，会执行其自定义文件抓取器，最后将所有内容导出到 C2。值得一提的是，窃密活动结束后，Stealc 会把自身和下载的DLL 文件从被感染的主机上删除，以清除入侵痕迹。 研究人员观察到 Stealc 其中之一的传播方式是通过 YouTube，这些视频描述如何安装破解软件并链接到下载网站。 最后，研究人员指出，这些下载的软件中嵌入了 Stealc 恶意软件，一旦用户安装程序，恶意软件就开始了“常规”工作，并迅速与其服务器进行通信。因此建议用户不要安装盗版软件，从官方网站下载产品。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358256.html 封面来源于网络，如有侵权请联系删除