StealC 黑客反遭黑，研究人员劫持恶意软件控制面板

HackerNews 编译，转载请注明出处：

StealC信息窃取恶意软件操作者使用的基于网络的控制面板中存在一个跨站脚本（XSS）漏洞，该漏洞使得研究人员能够观察活跃会话并收集有关攻击者硬件的相关信息。

StealC于2023年初出现，并在暗网网络犯罪渠道上进行了大力推广。由于其规避检测和广泛的数据窃取能力，它逐渐流行起来。

在随后的几年里，StealC的开发者进行了多次功能增强。去年4月发布2.0版本时，恶意软件作者引入了用于实时警报的Telegram机器人支持，以及一个新的生成器，该生成器可以基于模板和自定义的数据窃取规则来生成StealC版本。

在那段时间，该恶意软件管理面板的源代码遭到泄露，给研究人员提供了分析它的机会。

CyberArk的研究人员还发现了一个XSS漏洞，使他们能够收集StealC操作者的浏览器和硬件指纹、观察活跃会话、从面板窃取会话cookie，并远程劫持面板会话。

研究人员表示："通过利用该漏洞，我们能够识别威胁行为者计算机的特征，包括大致位置指标和计算机硬件详细信息。此外，我们还能够获取活跃的会话cookie，这使我们能够从自己的机器上控制这些会话。"

CyberArk没有透露关于该XSS漏洞的具体细节，以防止StealC操作者迅速定位并修复它。

报告重点介绍了一个被称为'YouTubeTA'的StealC客户案例。该攻击者可能使用被盗凭证劫持了旧的、合法的YouTube频道，并植入了感染链接。这名网络犯罪分子在2025年全年运行恶意软件活动，收集了超过5000份受害者日志，窃取了大约39万个密码和3000万个cookie（其中大部分不敏感）。

从威胁行为者面板的截图来看，大多数感染发生在受害者搜索Adobe Photoshop和Adobe After Effects的破解版本时。

通过利用XSS漏洞，研究人员能够确定攻击者使用的是一台基于Apple M3芯片的系统，系统语言设置为英语和俄语，使用东欧时区，并且通过乌克兰访问互联网。当威胁行为者忘记通过VPN连接StealC面板时，他们的位置暴露了。这揭示了他们的真实IP地址，该地址与乌克兰ISP TRK Cable TV有关联。

CyberArk指出，恶意软件即服务平台虽然能实现快速扩张，但也给威胁行为者带来了重大的暴露风险。

BleepingComputer已联系CyberArk，询问他们为何选择现在公开StealC的XSS漏洞。研究员Ari Novick表示，他们希望扰乱该恶意软件的运营，因为"近几个月来StealC操作者的数量激增，可能是对几个月前围绕Lumma恶意软件的风波作出的反应。通过公布XSS漏洞的存在，我们希望在恶意软件操作者重新评估是否使用它时，至少能对StealC恶意软件的使用造成一些干扰。由于现在操作者相对较多，这似乎是一个可能对MaaS市场造成相当大扰动的绝佳机会。"

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文