- CyberArkはソース漏えいとXSSの欠陥を通じてStealCのコントロールパネルを悪用した
- 研究者は、39万件のパスワードと3,000万件のCookieを盗んだ攻撃者「YouTubeTA」を暴いた
- 調査結果は、さらなる監視と攻撃を呼び込み、StealCの活動を妨害する可能性がある
サイバーセキュリティ研究者は、情報窃取型マルウェア「StealC」のWebベースのコントロールパネルへの侵入に成功し、このマルウェアがどのように動作するのか、そして攻撃者と被害者が誰なのかに関する貴重な情報を入手した。
StealCは非常に人気の高い情報窃取型マルウェアで、数年前に初めて出現して以来、サイバー犯罪コミュニティの定番の一つとなっている。
StealCは、Webブラウザの認証情報、Cookie、システム情報、メッセージングアプリやメールのデータ、暗号資産ウォレットの詳細などの機密データを収集して外部へ送信できるほか、モジュール式の標的設定、ステルス実行、柔軟なコマンド&コントロール通信といったさまざまな機能を備えている。
被害者のドクシング
CyberArkのセキュリティ研究者は、コントロールパネルにアクセスする方法を2つ見つけた。2025年4月ごろに発生したソースコード漏えいを利用する方法と、彼らが発見したクロスサイトスクリプティング(XSS)の脆弱性を利用する方法だ。
研究者は「この脆弱性を悪用することで、一般的な位置情報の指標やコンピュータのハードウェアの詳細など、脅威アクターのコンピュータの特徴を特定できた」と述べた。「さらに、アクティブなセッションCookieを取得できたため、こちらのマシンからセッションを乗っ取ることができた」
報告書では、「YouTubeTA」と呼ばれる脅威アクターの1人について詳述している。YouTubeTAは盗んだ認証情報を使って正規のYouTubeチャンネルにログインし、マルウェアへのリンクを設置していた。このキャンペーンにより、YouTubeTAは5,000件を超える被害者ログ、39万件のパスワード、3,000万件のCookieを得た。
CyberArkは、攻撃者が英語とロシア語の言語設定を備えたApple M3搭載デバイスを使用していたことを突き止めた。タイムゾーンは東欧に設定されており、少なくとも一度はウクライナからログインしていた。通常、サイバー犯罪者は足取りを隠すためVPN経由でのみログインするが、この脅威アクターは一度それを忘れ、IPアドレスが露呈した。そのIPアドレスは、ウクライナのISPであるTRK Cable TVに紐づいている。
CyberArkはこのニュースを公表することで、善意・悪意を問わず他のプレイヤーからもStealCが標的にされ、結果として作戦全体が妨害されることを期待している。
