情報窃取マルウェア「StealC」の運用者が使用するWebベースのコントロールパネルに存在したクロスサイトスクリプティング(XSS)の欠陥により、研究者はアクティブなセッションを観測し、攻撃者のハードウェアに関する情報を収集できました。
StealCは、ダークウェブのサイバー犯罪チャンネルで積極的に宣伝され、2023年初頭に登場しました。回避能力と広範なデータ窃取機能により人気が高まりました。
その後数年にわたり、StealCの開発者は複数の機能強化を追加しました。昨年4月にバージョン2.0がリリースされると、マルウェア作者はリアルタイム通知のためのTelegramボット対応と、テンプレートおよびカスタムのデータ窃取ルールに基づいてStealCのビルドを生成できる新しいビルダーを導入しました。
その頃、マルウェアの管理パネルのソースコードが流出し、研究者に分析の機会が与えられました。
CyberArkの研究者は、StealC運用者のブラウザおよびハードウェアのフィンガープリントを収集し、アクティブなセッションを観測し、パネルからセッションクッキーを盗み、パネルのセッションを遠隔で乗っ取ることを可能にするXSSの欠陥も発見しました。
「この脆弱性を悪用することで、一般的な位置情報の指標やコンピュータのハードウェアの詳細など、脅威アクターのコンピュータの特徴を特定できました」と、研究者は述べています。
「さらに、アクティブなセッションクッキーを取得でき、それにより自分たちのマシンからセッションを掌握することができました。」
出典: CyberArk
CyberArkは、StealC運用者が迅速に特定して修正できないようにするため、XSS脆弱性に関する具体的な詳細は公開しませんでした。
報告書は、「YouTubeTA」と呼ばれるStealCの顧客の一例を取り上げています。この人物は、侵害された認証情報を用いて古い正規のYouTubeチャンネルを乗っ取った可能性が高く、感染リンクを設置していました。
このサイバー犯罪者は2025年を通じてマルウェアキャンペーンを実施し、5,000件を超える被害者ログを収集し、約39万件のパスワードと3,000万件のクッキー(大半は機微ではない)を盗みました。
出典: CyberArk
脅威アクターのパネルのスクリーンショットによると、被害の大半は、被害者がAdobe PhotoshopやAdobe After Effectsのクラック版を検索した際に発生していました。
XSSの欠陥を活用することで、研究者は攻撃者が英語およびロシア語の言語設定を備えたApple M3ベースのシステムを使用し、東欧のタイムゾーンを利用し、ウクライナ経由でインターネットにアクセスしていたことを突き止めることができました。
脅威アクターがVPN経由でStealCパネルに接続するのを忘れたことで、所在地が露見しました。これにより実際のIPアドレスが明らかになり、ウクライナのISPであるTRK Cable TVに紐づいていました。
CyberArkは、マルウェア・アズ・ア・サービス(MaaS)プラットフォームは迅速なスケーリングを可能にする一方で、脅威アクターにとって重大な露出リスクももたらすと指摘しています。
BleepingComputerは、なぜ今になってStealCのXSS欠陥を公開することを選んだのかを尋ねるため、CyberArkに連絡しました。研究者のAri Novick氏は、運用に混乱を生じさせたいと考えていると述べました。というのも、ここ数か月でStealC運用者の数が「急増しており、数か月前のLummaをめぐる騒動への反応である可能性がある」ためです。
「XSSの存在を公表することで、運用者が使用を再評価する中で、StealCマルウェアの利用に少なくとも一定の混乱をもたらしたいと考えています。現在は運用者が比較的多いため、MaaS市場にかなり大きな混乱を引き起こせる可能性がある絶好の機会だと思われました。」
