犯罪インフラは、成功するのと同じ理由で失敗することが多い。つまり、急ごしらえで、使い回され、セキュリティが不十分なのだ。
セキュリティ研究者は最近、被害者の認証情報を盗むために設計されたマルウェアのインフラそのものを悪用することで、この脆弱性を実証した。
StealCマルウェアとそのインフラの弱点
StealCは、2023年初頭からMalware-as-a-Service(MaaS)モデルで配布されているインフォスティーラー型マルウェアだ。
このマルウェアは、キャンペーンを追跡する洗練されたWebパネルを通じて、感染したコンピュータからCookie、パスワード、機密データを狙う。
しかし2025年春、研究者がインフラに重大な脆弱性を発見したことで、StealCの運用は大きな打撃を受けた。
StealC v2のリリース後、Webパネルのコードが公開流出した。分析の過程で、研究者は管理パネル内に悪用可能なXSS(クロスサイトスクリプティング)脆弱性を特定した。
このセキュリティ上の欠陥により、研究者はStealC運用者の活動を監視し、システムのフィンガープリントを収集し、アクティブなセッションを追跡し、皮肉にもCookie窃取を目的として設計されたインフラからセッションCookieを盗むことまで可能になった。
パネルの脆弱性を悪用することで、研究者は「YouTubeTA」として知られる脅威アクターを特定した。この人物は5,000台以上の被害者マシンを侵害していた。
盗まれたデータには、39万件を超えるパスワードと3,000万件のCookieが含まれていた。マルウェアが取得したスクリーンショットには、被害者がAdobe PhotoshopやAfter Effectsのクラック版を探している様子が映っていた。
CyberArkが報告したところによると、YouTubeTAの配布手法は、登録者数のある正規のYouTubeチャンネル(長い投稿履歴を持つ)を乗っ取ることだった。
一定期間の休眠の後、これらの侵害されたチャンネルは、マルウェアを仕込んだクラックソフトのダウンロードを宣伝し始めた。
StealCパネルの「markers(マーカー)」機能はstudio.youtube.comの認証情報を強調表示しており、脅威アクターがYouTubeクリエイターのアカウントを盗み、さらなる感染拡大を継続させる戦略を取っていたことを裏付けた。
フィンガープリンティングで単独オペレーターの正体が判明
パネルの分析により、YouTubeTAは組織化されたグループではなく、単独の脅威アクターとして活動していることが明らかになった。
ハードウェアのフィンガープリンティングでは、画面サイズが一貫しており、WebGLレンダラーのデータからApple M3プロセッサの使用が示された。
言語サポートは英語とロシア語に対応しており、タイムゾーンデータ(GMT+0300、東ヨーロッパ夏時間)によって地理的な位置が絞り込まれた。
2025年7月、運用者が一時的にVPN保護なしでパネルにアクセスした際、研究者はウクライナのISPであるTRK Cable TVに関連付けられたIPアドレスを取得し、他の指標とも一致する東欧由来の帰属を裏付けた。
この侵害は、MaaSモデルに内在する弱点を浮き彫りにしている。YouTubeTAのような個々の運用者が数十万件の認証情報を効率的に盗める一方で、このモデルはサプライチェーン上の脆弱性を生み出す。
httpOnly Cookie保護を実装しないなど、StealC開発者の不十分なセキュリティ慣行により、顧客基盤全体が研究者の監視にさらされることになった。
これは、インフラの欠陥が複数の脅威アクターを同時に危殆化させ得ること、そしてセキュリティ研究者や法執行機関にとって価値あるインテリジェンス獲得の機会を提供し得ることを示している。
翻訳元: https://gbhackers.com/researchers-breach-stealc-infrastructure/
