- 27,384
- 46
- 8 Ноя 2022
Рассказываем историю самого нелепого саморазоблачения года.
Разработчики вредоносного ПО сами стали жертвами уязвимости, которую не заметили в собственной инфраструктуре. Речь идёт о распространённом инфостилере StealC, функционирующем по модели «вредоносное ПО как услуга» и активно использующемся для кражи cookies, паролей и других конфиденциальных данных. Несмотря на внешнюю «профессиональность» продукта — с удобной панелью управления, системой отслеживания кампаний и мнимой операционной безопасностью — уязвимости в его веб-интерфейсе обернулись против самих создателей.
Переход на вторую версию StealC весной 2025 года ознаменовался чередой неудач. Почти сразу после релиза утёк исходный код панели управления, а команда TRAC Labs выпустила критический технический разбор с говорящим названием «Аутопсия неудачного стилера» . Однако за пределами заголовков остался более важный эпизод — уязвимость в панели позволила специалистам получить доступ к данным злоумышленников, включая отпечатки систем, активные сессии, украденные ими куки и IP-адреса, с которых осуществлялся доступ к панели.
Ошибка XSS в панели StealC оказалась настолько простой, что позволила подключиться к сессиям злоумышленников и управлять ими со сторонних машин. Специалисты отмечают иронию ситуации: разработчики инструмента для массовой кражи cookies не обеспечили даже базовую защиту собственных данных, проигнорировав функции безопасности, такие как httpOnly.
Особое внимание исследователей привлёк оператор, обозначенный как <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span>TA. Его вредоносные кампании строились на использовании старых YouTube-аккаунтов, ранее загружавших легитимные видео. Спустя время такие аккаунты начинали распространять вредоносные файлы, замаскированные под взломанные версии программ Adobe.
Жертвы сами искали подобный контент на YouTube, где и сталкивались с заражёнными ссылками. При запуске StealC делал скриншоты, которые позволили увидеть, что пользователи действительно находились на соответствующих страницах в момент заражения.
Сервер управления YouTubeTA содержал свыше 5 тыс. логов, собранных через StealC. В них — более 390 тыс. паролей и около 30 млн cookies, хотя большинство из последних оказались не чувствительными. Через веб-интерфейс StealC злоумышленник также выделял учётные данные с конкретных доменов, например, «studio.youtube[.]com» — платформы для авторов контента, что подтверждает попытки захвата популярных YouTube-каналов.
Инструмент Clickfix , ставший популярным в 2025 году, также применялся в кампаниях YouTubeTA. Эта техника социальной инженерии эксплуатирует незащищённые настройки браузера, вынуждая жертву кликать по вредоносным элементам под видом обновлений или исправлений.
Сбор данных с панели дал основания считать, что YouTubeTA — не группа, а одиночный оператор. Во всех сессиях фиксировались одинаковые аппаратные характеристики: экран и WebGL-рендерер указывали на устройство Apple с процессором M3. Панель управления использовалась одним пользователем с правами администратора. И один из IP-адресов, с которого осуществлялся доступ в июле 2025 года, принадлежал украинскому интернет-провайдеру.
История с YouTubeTA подчёркивает, насколько уязвимы злоумышленники, использующие модели MaaS. Делегируя задачи другим, они открывают доступ к своей инфраструктуре, где любая ошибка разработчиков может привести к утечке данных и деанонимизации. Как оказалось, даже те, кто ворует данные, не застрахованы от того, чтобы стать жертвой собственной халатности.
Разработчики вредоносного ПО сами стали жертвами уязвимости, которую не заметили в собственной инфраструктуре. Речь идёт о распространённом инфостилере StealC, функционирующем по модели «вредоносное ПО как услуга» и активно использующемся для кражи cookies, паролей и других конфиденциальных данных. Несмотря на внешнюю «профессиональность» продукта — с удобной панелью управления, системой отслеживания кампаний и мнимой операционной безопасностью — уязвимости в его веб-интерфейсе обернулись против самих создателей.
Переход на вторую версию StealC весной 2025 года ознаменовался чередой неудач. Почти сразу после релиза утёк исходный код панели управления, а команда TRAC Labs выпустила критический технический разбор с говорящим названием «Аутопсия неудачного стилера» . Однако за пределами заголовков остался более важный эпизод — уязвимость в панели позволила специалистам получить доступ к данным злоумышленников, включая отпечатки систем, активные сессии, украденные ими куки и IP-адреса, с которых осуществлялся доступ к панели.
Ошибка XSS в панели StealC оказалась настолько простой, что позволила подключиться к сессиям злоумышленников и управлять ими со сторонних машин. Специалисты отмечают иронию ситуации: разработчики инструмента для массовой кражи cookies не обеспечили даже базовую защиту собственных данных, проигнорировав функции безопасности, такие как httpOnly.
Особое внимание исследователей привлёк оператор, обозначенный как <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span>TA. Его вредоносные кампании строились на использовании старых YouTube-аккаунтов, ранее загружавших легитимные видео. Спустя время такие аккаунты начинали распространять вредоносные файлы, замаскированные под взломанные версии программ Adobe.
Жертвы сами искали подобный контент на YouTube, где и сталкивались с заражёнными ссылками. При запуске StealC делал скриншоты, которые позволили увидеть, что пользователи действительно находились на соответствующих страницах в момент заражения.
Сервер управления YouTubeTA содержал свыше 5 тыс. логов, собранных через StealC. В них — более 390 тыс. паролей и около 30 млн cookies, хотя большинство из последних оказались не чувствительными. Через веб-интерфейс StealC злоумышленник также выделял учётные данные с конкретных доменов, например, «studio.youtube[.]com» — платформы для авторов контента, что подтверждает попытки захвата популярных YouTube-каналов.
Инструмент Clickfix , ставший популярным в 2025 году, также применялся в кампаниях YouTubeTA. Эта техника социальной инженерии эксплуатирует незащищённые настройки браузера, вынуждая жертву кликать по вредоносным элементам под видом обновлений или исправлений.
Сбор данных с панели дал основания считать, что YouTubeTA — не группа, а одиночный оператор. Во всех сессиях фиксировались одинаковые аппаратные характеристики: экран и WebGL-рендерер указывали на устройство Apple с процессором M3. Панель управления использовалась одним пользователем с правами администратора. И один из IP-адресов, с которого осуществлялся доступ в июле 2025 года, принадлежал украинскому интернет-провайдеру.
История с YouTubeTA подчёркивает, насколько уязвимы злоумышленники, использующие модели MaaS. Делегируя задачи другим, они открывают доступ к своей инфраструктуре, где любая ошибка разработчиков может привести к утечке данных и деанонимизации. Как оказалось, даже те, кто ворует данные, не застрахованы от того, чтобы стать жертвой собственной халатности.
- Источник новости
- www.securitylab.ru
