Фахівці CyberArk виявили XSS-уразливість в адміністративній панелі популярного стилера StealC і змогли використати її проти самих кіберзлочинців. Помилка в коді веб-інтерфейсу дала змогу збирати технічні дані про пристрої операторів, визначати їхнє приблизне місцезнаходження та отримувати сесійні cookie для перехоплення активних адмінських сесій.
StealC як MaaS‑платформа: небезпечний стілер у сервісній моделі
StealC з’явився на початку 2023 року й швидко став помітним гравцем на ринку Malware-as-a-Service (MaaS). Стілер — це клас шкідливого ПЗ, який спеціалізується на крадіжці облікових даних, cookie, автозаповнення браузера, даних криптогаманців та іншої чутливої інформації, придатної для подальших атак і монетизації.
Успіх StealC пояснюється поєднанням обходу захисних механізмів та широкої функціональності. Автор проєкту регулярно додавав нові можливості, а у 2024 році вийшла версія StealC V2 із підтримкою Telegram-ботів та оновленим білдером. Білдер дозволяє операторам гнучко задавати, які типи даних збирати та під які сценарії атак формувати шкідливе навантаження, що значно спрощує масштабування злочинних кампаній.
XSS-уразливість в панелі StealC: як працювала атака на операторів
Паралельно з розвитком самого стилера в мережу потрапив вихідний код його адмінпанелі. Це дало фахівцям із кібербезпеки можливість детально проаналізувати внутрішню інфраструктуру StealC. Під час аналізу CyberArk виявили XSS‑уразливість (межсайтовий скриптинг) у веб-інтерфейсі керування.
Суть XSS полягає в тому, що у веб-сторінку можна впровадити довільний JavaScript‑код, який виконається у браузері користувача, що відкрив цю сторінку. У випадку StealC це означало, що спеціально підготовлений скрипт запускався безпосередньо в браузерах операторів стилера, коли ті входили до адмінпанелі. Таким чином дослідники отримали легальний з погляду веб-додатку канал виконання коду на боці зловмисників.
За даними CyberArk, експлойт дозволяв проводити фінгерпринтинг браузера та обладнання, спостерігати за активними сесіями та викрадати сесійні cookie. Завдяки цьому з’явилася можливість перехоплювати керування адмінськими сесіями, не знаючи вихідних логінів і паролів. Точні технічні деталі дослідники свідомо не розкривають, щоб ускладнити оперативне виправлення вразливості операторами StealC.
Деанонімізація операторів StealC та зібрані технічні дані
Експлуатація XSS дала змогу зібрати значний масив даних про частину операторів StealC: модель та архітектуру пристроїв, мовні налаштування, часовий пояс, параметри браузера та приблизну геолокацію. Окремо дослідники відзначають успішне отримання сесійних cookie, що відкривало шлях до повноцінного перехоплення активних адмінських сесій та спостереження за роботою панелі в режимі реального часу.
Кейс YouTubeTA: злам YouTube‑каналів та розповсюдження стилера через піратський софт
Одним із найбільш показових прикладів став оператор під ніком YouTubeTA. Аналіз скомпрометованих сесій показав, що він працював із системи на базі Apple M3, використовував одночасно англійську та російську мови інтерфейсу та перебував у часовому поясі Східної Європи. Частина його активності проходила через український сегмент мережі, а один з входів до панелі StealC був здійснений без VPN, що дозволило зафіксувати реальну IP‑адресу українського провайдера TRK Cable TV.
Зібрані артефакти свідчать, що YouTubeTA спеціалізувався на компрометації легітимних, часто давно неактивних, але авторитетних YouTube‑каналів. Імовірно, він використовував раніше викрадені облікові дані для входу в такі акаунти. Після захоплення каналу зловмисник розміщував відео з посиланнями на нібито «безкоштовні» або зламані версії популярного ПЗ, насамперед Adobe Photoshop та Adobe After Effects, за якими фактично ховалися завантажувачі StealC.
За оцінкою CyberArk, лише протягом 2025 року цей оператор зібрав понад 5000 логів жертв, викрав близько 390 000 паролів і приблизно 30 млн cookie. Хоча значна частина cookie не містила критично важливих даних, їхній обсяг суттєво підвищував імовірність доступу до цінних облікових записів і сесій.
Що означає інцидент зі StealC для бізнесу та звичайних користувачів
StealC є типовим прикладом MaaS‑платформи, де розробник бере на себе створення й підтримку шкідливого інструментарію, а десятки або сотні операторів фокусуються на розповсюдженні та монетизації атак. За даними галузевих звітів провідних вендорів ІБ, модель Malware‑as‑a‑Service вже стала одним із ключових трендів кіберзлочинності, оскільки знижує «вхідний поріг» навіть для малодосвідчених правопорушників.
Практичні рекомендації з кібербезпеки та цифрової гігієни
Інцидент зі StealC наочно демонструє, що навіть добре організовані злочинні екосистеми вразливі до технічних та аналітичних операцій з боку захисників. Для організацій це аргумент на користь інвестицій у threat hunting, моніторинг витоків облікових даних і проактивні дослідження інфраструктури зловмисників, поки такі сервіси не стали масовим інструментом атак.
З погляду користувачів і бізнесу критично важливо відмовитися від завантаження піратського ПЗ: запити на кшталт «завантажити Photoshop безкоштовно» безпосередньо корелюють із ризиком зараження стилерами. Рекомендується застосовувати менеджери паролів, вмикати двохфакторну автентифікацію, регулярно очищати cookie та активні сесії в браузері, а також стежити за підозрілою активністю в облікових записах, насамперед у пошті, соціальних мережах і хмарних сервісах.
Ситуація навколо StealC повинна стати приводом для переоцінки власної стратегії кібербезпеки. Чим більше організацій інвестують у проактивний захист і дослідження загроз, тим вищі шанси вчасно виявляти та дестабілізувати MaaS‑платформи. А користувачам варто зміцнити цифрову гігієну вже зараз: легалізувати софт, посилити захист облікових записів і не ігнорувати рекомендації спільноти з безпеки, поки наступний StealC не встиг стати черговим «стандартом» для кіберзлочинців.
