Uma vulnerabilidade de cross-site scripting (XSS) no painel de controle web usado pelos operadores do malware StealC, voltado para roubo de informações, permitiu que pesquisadores monitorassem sessões ativas e coletassem dados sobre o hardware dos atacantes.
O StealC surgiu no início de 2023, com ampla divulgação em canais de cibercrime da dark web.
Rápido e eficiente, o malware ganhou popularidade graças às suas avançadas técnicas de evasão e à ampla capacidade de roubo de dados.
Nos anos seguintes, o desenvolvedor do StealC implementou diversas melhorias.
Em abril deste ano, com o lançamento da versão 2.0, foram adicionadas funcionalidades como suporte a bots no Telegram para alertas em tempo real e um novo builder capaz de gerar versões customizadas do malware, aplicando regras específicas para o roubo de dados.
Nesse período, o código-fonte do painel administrativo do StealC foi vazado, permitindo a análise por pesquisadores de segurança.
Analistas da CyberArk identificaram uma falha XSS que possibilitou coletar impressões digitais do navegador e do hardware dos operadores, além de monitorar sessões ativas, roubar cookies de autenticação do painel e até sequestrar sessões remotamente.
“Explorando essa vulnerabilidade, conseguimos identificar características dos computadores dos agentes de ameaça, incluindo indicativos da localização geográfica e detalhes de hardware”, afirmam os pesquisadores.
“Também conseguimos recuperar cookies de sessões ativas, o que nos permitiu assumir o controle dessas sessões a partir das nossas máquinas.”
Para dificultar a correção imediata por parte dos operadores do StealC, detalhes técnicos específicos da vulnerabilidade não foram divulgados.
O relatório destaca um caso envolvendo um cliente do StealC, apelidado de ‘YouTubeTA’, que sequestrou canais legítimos antigos do YouTube — provavelmente utilizando credenciais comprometidas — para inserir links maliciosos.
Esse cibercriminoso conduziu campanhas de malware durante 2025, coletando mais de 5.000 logs de vítimas, aproximadamente 390 mil senhas e cerca de 30 milhões de cookies, a maioria sem informações sensíveis.
Capturas de tela do painel do atacante indicam que a maior parte das infecções ocorreu quando as vítimas buscavam versões piratas do Adobe Photoshop e Adobe After Effects.
A partir da exploração da falha XSS, os pesquisadores identificaram que o invasor utilizava um sistema baseado no Apple M3, com configurações de idioma em inglês e russo, operando no fuso horário do Leste Europeu e acessando a internet via Ucrânia.
A localização real do atacante foi descoberta quando ele esqueceu de usar uma VPN para conectar-se ao painel, expondo seu endereço IP vinculado ao provedor ucraniano TRK Cable TV.
A CyberArk alerta que plataformas de malware-as-a-service (MaaS) facilitam o rápido crescimento dessas operações, mas também aumentam o risco de exposição para os próprios agentes maliciosos.
O pesquisador Ari Novick afirmou que o objetivo de revelar a falha XSS é gerar interrupções na operação do StealC, especialmente diante do recente aumento no número de operadores do malware, possivelmente em reação a polêmicas envolvendo o Lumma.
“Com a divulgação dessa vulnerabilidade, esperamos causar ao menos alguma disrupção no uso do StealC, enquanto os operadores reavaliam a continuidade com essa ferramenta.
Como já há muitos operadores, esta é uma oportunidade importante para impactar significativamente o mercado de MaaS.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...