Đánh cắp dữ liệu StealC: Lỗ hổng nghiêm trọng phơi bày kẻ tấn công
Các nhà nghiên cứu bảo mật đã thực hiện thành công việc khai thác các lỗ hổng bảo mật trong hạ tầng mã độc StealC, qua đó giành quyền truy cập vào các bảng điều khiển của operator và làm lộ danh tính của kẻ tấn công thông qua chính các session cookie bị đánh cắp của chúng. Sự việc này làm nổi bật những thất bại nghiêm trọng về bảo mật trong các hoạt động tội phạm được xây dựng dựa trên việc đánh cắp dữ liệu thông tin đăng nhập.
StealC: Mã độc đánh cắp thông tin với mô hình MaaS
StealC là một mã độc chuyên đánh cắp thông tin, hoạt động theo mô hình Malware-as-a-Service (MaaS) kể từ đầu năm 2023. Mã độc này đã phải đối mặt với một trở ngại đáng kể khi các nhà nghiên cứu phát hiện ra một lỗ hổng Cross-Site Scripting (XSS) trong bảng điều khiển web của nó.
Việc phát hiện này diễn ra sau một sự cố rò rỉ mã nguồn vào mùa xuân năm 2025.
Chi tiết lỗ hổng và phương pháp khai thác
Lỗ hổng được xác định là một Cross-Site Scripting (XSS) trong giao diện quản lý web của StealC. CyberArk Labs đã tận dụng lỗ hổng này để thu thập các dấu vân tay hệ thống, giám sát các phiên hoạt động, và chiếm đoạt các cookie xác thực.
Những cookie này được lấy trực tiếp từ hạ tầng vốn được thiết kế để tự nó đánh cắp dữ liệu. Điểm đáng chú ý là sự trớ trêu: các operator chuyên về đánh cắp cookie lại không triển khai các tính năng bảo mật cơ bản như cờ httpOnly. Việc thiếu sót này đã khiến cookie của họ dễ dàng bị chiếm đoái thông qua các cuộc tấn công XSS.
Phân tích hoạt động của Operator “YouTubeTA”
Thông qua quyền truy cập vào bảng điều khiển, các nhà nghiên cứu đã theo dõi một operator duy nhất được định danh là “YouTubeTA” (YouTube Threat Actor). Operator này đã duy trì hơn 5.000 nhật ký lây nhiễm, chứa khoảng 390.000 mật khẩu bị đánh cắp và 30 triệu cookie.
Các ảnh chụp màn hình được thu thập bởi mã độc cho thấy nạn nhân thường tìm kiếm các phiên bản phần mềm crack của Adobe Photoshop và After Effects trên YouTube. Điều này gợi ý rằng YouTubeTA đã thỏa hiệp các kênh YouTube hợp pháp có lượng người đăng ký lớn để phân phối mã độc StealC.
Cấu hình bảng điều khiển của operator này bao gồm các dấu hiệu đặc biệt cho thông tin đăng nhập studio.youtube.com. Đây là một chiến lược rõ ràng nhằm chiếm đoạt tài khoản của những người tạo nội dung và mở rộng mạng lưới phân phối mã độc.
Thông tin nhận dạng Operator và sai sót OpSec nghiêm trọng
Việc phân tích dấu vân tay bảng điều khiển đã xác định YouTubeTA là một operator duy nhất sử dụng bộ xử lý Apple M3. Các chữ ký phần cứng này nhất quán trên tất cả các phiên hoạt động, như đã được báo cáo bởi CyberArk Labs tại nguồn tin đáng tin cậy.
Tùy chọn ngôn ngữ cho thấy hỗ trợ tiếng Anh và tiếng Nga, trong khi dữ liệu múi giờ chỉ ra GMT+0300 (Eastern European Summer Time).
Một sai sót nghiêm trọng về bảo mật vận hành (OpSec) đã xảy ra khi operator này kết nối mà không có bảo vệ VPN trong một khoảng thời gian ngắn. Sự cố này đã làm lộ địa chỉ IP liên quan đến nhà cung cấp dịch vụ Internet (ISP) TRK Cable TV.
Các chỉ số thỏa hiệp (IOCs)
Từ việc khai thác hạ tầng mã độc StealC, các chỉ số thỏa hiệp sau đây đã được ghi nhận, cung cấp thông tin quan trọng cho việc phát hiện và phòng ngừa:
- Địa chỉ IP của operator: Đã được liên kết với nhà cung cấp dịch vụ Internet TRK Cable TV tại Ukraine, tiết lộ do sơ suất OpSec.
- Cấu hình mục tiêu: Các marker cụ thể cho thông tin đăng nhập
studio.youtube.comtrong bảng điều khiển của kẻ tấn công, cho thấy mục tiêu là các tài khoản người tạo nội dung YouTube. - Loại mã độc: StealC, một biến thể mã độc chuyên đánh cắp dữ liệu thông tin.
Bài học từ lỗ hổng trong chuỗi cung ứng MaaS
Sự việc này minh chứng rõ ràng cách các lỗ hổng bảo mật trong chuỗi cung ứng MaaS có thể phơi bày cả điểm yếu về hạ tầng lẫn danh tính của operator trước các nhà nghiên cứu bảo mật. Nó cũng nhấn mạnh rằng ngay cả những kẻ tấn công chuyên nghiệp cũng có thể mắc phải những sai lầm cơ bản trong OpSec, dẫn đến việc bị phát hiện và làm lộ thông tin nhạy cảm. Đây là một mối đe dọa mạng cần được theo dõi liên tục.
