Исследователи в области кибербезопасности обнаружили уязвимость типа межсайтового скриптинга в панели управления, используемой операторами вредоносной программы StealC, предназначенной для кражи данных. Это позволило получить информацию об одном из злоумышленников, использующих данное ПО.
StealC — это программа-вор, появившаяся в начале 2023 года и распространяемая по модели «вредоносное ПО как услуга». Для распространения она использует различные методы, включая YouTube, где вредоносное ПО маскируется под взломанные версии популярного программного обеспечения. За прошедшее время программа получила обновления, включающие интеграцию с Telegram и улучшенные механизмы доставки.
После утечки исходного кода панели управления StealC исследователи смогли изучить ее особенности. Уязвимость межсайтового скриптинга, обнаруженная в панели, позволила, в числе прочего, получить файлы cookie активных сеансов. Такие уязвимости возникают из-за недостаточной проверки вводимых данных и могут использоваться для кражи информации.
«Используя его, мы смогли собрать системные отпечатки, отследить активные сеансы и — что никого не удивит — украсть файлы cookie из той самой инфраструктуры, которая предназначена для их кражи».
Ари Новик, исследователь CyberArk
По имеющимся данным, один из операторов StealC, известный под ником YouTubeTA, с помощью этой программы собрал тысячи журналов, содержащих сотни тысяч паролей и десятки миллионов файлов cookie, большая часть из которых имела технический или отслеживающий характер. Предполагается, что подобные действия могли позволить получать доступ к учетным записям на платформах, включая YouTube, для дальнейшего распространения вредоносного ПО.