黑客反被黑：研究人员利用 XSS 漏洞劫持 StealC 控制面板，窃取攻击者情报

StealC 信息窃取恶意软件的 Web 控制面板存在一个跨站脚本XSS漏洞。CyberArk 研究人员通过该漏洞成功观察运营商活跃会话并收集了攻击者的浏览器与硬件指纹等关键情报。StealC v2 Malware Enhances Stealth and Expands Data Theft FeaturesStealC 控制面板构建界面示例来源公开分析报告StealC 于 2023 年初在暗网网络犯罪社区通过激进推广迅速崛起。它凭借强大的规避检测能力和广泛的数据窃取功能包括浏览器数据、密码、Cookie 等很快成为热门 Malware-as-a-ServiceMaaS工具。在随后的几年中StealC 开发者持续进行多项升级。2025 年 4 月发布的2.0 版本引入了Telegram 机器人实时警报功能并推出全新构建器支持基于模板和自定义数据窃取规则快速生成恶意样本。大约同一时期StealC 管理面板的源代码意外泄露为安全研究人员提供了深入分析的机会。XSS 漏洞曝光研究人员“反杀”运营商CyberArk 研究人员在泄露的面板中发现了一个简单的XSS 漏洞。利用该漏洞他们能够收集 StealC 运营商的浏览器和硬件指纹实时观察活跃会话窃取面板会话 Cookie远程劫持控制面板会话值得注意的是StealC 本身以窃取 Cookie 为核心业务却未能对自身面板的 Cookie 实施基本保护如 httpOnly 标志这成为研究人员“以其人之道还治其人之身”的关键。为避免 StealC 运营商快速修复漏洞CyberArk 未公开 XSS 的具体技术细节。From Cracked to Hacked: Malware Spread via YouTube VideosStealC 通过 YouTube 分发恶意软件的典型攻击流程示意图典型案例YouTubeTA 运营商剖析研究重点聚焦于一位代号为“YouTubeTA”YouTube Threat Actor的 StealC 客户。该攻击者很可能利用泄露的凭证劫持了多个旧的合法 YouTube 频道并在视频描述或评论中植入感染链接诱导用户下载伪装成Adobe Photoshop和Adobe After Effects破解版的恶意软件。在整个 2025 年期间YouTubeTA 持续运行活动累计收集超过5,000 条受害者日志窃取约39 万个密码和3000 万个 Cookie其中大部分为非敏感 Cookie。Inside a live StealC campaignYouTubeTA 的标记页面截图显示感染日志统计来源CyberArk 报告面板截图显示大多数感染发生在受害者搜索“Adobe Photoshop 破解版”或“Adobe After Effects 破解版”等关键词时。受害者点击 YouTube 视频中的下载链接后即被感染。攻击者自身信息暴露通过 XSS 漏洞研究人员精准获取了 YouTubeTA 的设备指纹使用基于 Apple M3的系统语言设置为英语和俄语时区为东欧多数情况下通过乌克兰访问互联网更具讽刺意味的是当该威胁者忘记连接 VPN 时其真实 IP 地址直接暴露。该 IP 与乌克兰 ISPTRK Cable TV相关联彻底暴露了地理位置。Uncovering the “Easy Stealer” InfostealerStealC v2 恶意软件相关可视化示意图突出数据窃取能力MaaS 模式的双刃剑CyberArk 指出恶意软件即服务MaaS平台虽然让威胁者能够快速扩展业务、降低技术门槛但同时也带来了巨大的运营安全风险。一旦底层基础设施如控制面板存在缺陷所有使用该服务的运营商都可能暴露。StealC 的案例再次证明即使是专业的“Cookie 窃取者”也可能因为自身安全疏忽而“反被窃取”情报。