Security-Forscher von CyberArk haben eine gravierende XSS-Sicherheitsluecke in der Web-Administrationsoberflaeche des weit verbreiteten Stealers StealC entdeckt und gezielt gegen die Betreiber der Malware eingesetzt. Durch manipulierten JavaScript-Code erhielten sie Einblick in Geraete, Geolokation und Session-Cookies der Angreifer – und damit in laufende Admin-Sitzungen des StealC-Panels.
StealC-Stealer: Professionalisierte Malware-as-a-Service-Plattform
StealC tauchte Anfang 2023 auf und etablierte sich schnell als prominenter Vertreter von Malware-as-a-Service (MaaS). Stealer-Malware ist darauf spezialisiert, Credentials, Browser-Autofill-Daten, Cookies, Krypto-Wallets und andere sensible Informationen automatisiert zu exfiltrieren.
StealC gewann rasch an Popularitaet, weil der Autor kontinuierlich neue Funktionen integrierte und Schutzmechanismen von Betriebssystemen und Sicherheitsloesungen gezielt zu umgehen versucht. Die Version StealC V2 erweiterte die Plattform unter anderem um Telegram-Bot-Unterstuetzung und einen flexiblen Builder, mit dem Angreifer maßgeschneiderte Builds generieren koennen – etwa nur auf bestimmte Browser, Datentypen oder Angriffsszenarien ausgerichtet.
XSS in der StealC-Adminoberflaeche: Wie der Angriff funktionierte
Parallel zur technischen Weiterentwicklung von StealC gelangte der Quellcode der Admin-Konsole ins Netz. Dies ermoeglichte eine tiefgehende Analyse der Infrastruktur. CyberArk entdeckte dabei eine Cross-Site-Scripting (XSS)-Schwachstelle in der Weboberflaeche, die das Einschleusen von JavaScript-Code direkt in die Admin-Ansicht zuliess.
Bei XSS werden Daten, die ein Nutzer in eine Anwendung einbringt, nicht korrekt bereinigt, sodass darin eingebetteter Skriptcode im Browser anderer Nutzer ausgefuehrt wird. Im Fall von StealC fuehrte dies dazu, dass eingeschleuster Code im Browser der Malware-Operatoren ausgefuehrt wurde, sobald diese sich am Panel anmeldeten.
Die von CyberArk entwickelte Exploit-Kette ermoeglichte Browser- und Hardware-Fingerprinting, Einsicht in aktive Admin-Sitzungen sowie das Abgreifen von Session-Cookies. Dadurch liessen sich Sitzungen im StealC-Panel uebernehmen, ohne die urspruenglichen Zugangsdaten zu kennen. Aus Sicherheitsgruenden veroeffentlichen die Forscher keine vollstaendigen technischen Details, um eine schnelle Behebung durch die Kriminellen zu erschweren.
Deanonymisierung der Betreiber: technische Metadaten und Geolokation
Durch die Ausnutzung der XSS-Luecke sammelte CyberArk umfangreiche Telemetriedaten zu einzelnen StealC-Operatoren: Geraetemodelle und -architektur, Spracheinstellungen, Zeitzonen sowie ungefaehre Geolokation. Besonders wertvoll waren die abgegriffenen Session-Cookies, die eine direkte Uebernahme aktiver Administrationssitzungen ermoeglichten.
Ein exemplarischer Fall betrifft einen Operator mit dem Alias YouTubeTA. Die ausgewerteten Sitzungsdaten zeigen, dass er ein Apple-System mit M3-Architektur nutzte, englische und russische Spracheinstellungen verwendete und sich in einer osteuropaeischen Zeitzone befand. Teile seiner Aktivitaet liefen ueber ukrainische Netze; mindestens ein Zugriff auf das StealC-Panel erfolgte ohne VPN, wodurch eine reale IP-Adresse eines ukrainischen Providers (TRK Cable TV) sichtbar wurde.
Fallbeispiel YouTubeTA: Missbrauch legitimer YouTube-Kanaele und Piraterie-Software
Die Analyse legt nahe, dass sich YouTubeTA auf die Kompromittierung legitimer, aber zum Teil laenger ungenutzter YouTube-Kanaele mit bestehender Reichweite spezialisiert hat. Vermutlich nutzte er zuvor gestohlene Zugangsdaten, wie sie laut Berichten von Verizon und anderen Anbietern zu den am haeufigsten missbrauchten Datensaetzen in Cyberangriffen gehoeren.
Nach erfolgreicher Uebernahme platzierte der Operator Videos mit Links zu angeblich kostenlosen oder gecrackten Versionen populärer Software. Besonders im Fokus standen Adobe Photoshop und Adobe After Effects. Statt der erwarteten Piraterie-Software luden Nutzer jedoch StealC-basierte Loader herunter. Laut CyberArk sammelte YouTubeTA allein im Jahr 2025 ueber 5000 Opfer-Logs, stahl rund 390 000 Passwoerter und etwa 30 Millionen Cookies. Zwar sind viele Cookies unkritisch, doch erhoeht die schiere Masse die Wahrscheinlichkeit, wertvolle Sitzungen – etwa zu E-Mail-, Cloud- oder Zahlungsdiensten – zu finden.
Malware-as-a-Service als Risikofaktor fuer Unternehmen und Privatnutzer
StealC steht exemplarisch fuer die zunehmende Industrialisierung von Cybercrime durch MaaS-Plattformen. Der Malware-Entwickler kuemmert sich um Code, Infrastruktur und Updates, waehrend zahlreiche Partner (Operatoren) sich ausschliesslich auf Verteilung und Monetarisierung konzentrieren. Berichte von ENISA, Verizon oder Europol sehen diese Arbeitsteilung seit Jahren als zentralen Trend in der Cybercrime-Oekonomie.
Durch die nun offengelegte XSS-Luecke erhoffen sich die Forscher einen Vertrauensverlust innerhalb der kriminellen Szene. Je weiter ein bestimmter MaaS-Dienst verbreitet ist, desto groesser ist der Effekt, wenn seine Betreiber und Nutzer sich nicht mehr auf die Sicherheit der Plattform verlassen koennen.
Praktische Lehren: Schutz vor Stealern, Phishing-Kampagnen und Cookies-Diebstahl
Der Vorfall bestaetigt mehrere zentrale Empfehlungen der IT-Sicherheit. Erstens sollten Unternehmen und Nutzer konsequent auf das Herunterladen von piratisierter Software verzichten. Suchanfragen wie „Photoshop crack download“ sind seit Jahren ein direkter Indikator fuer das Risiko einer Infektion mit Stealer-Malware.
Zweitens senken Passwort-Manager, konsequente Zwei-Faktor-Authentifizierung und das regelmaessige Loeschen von Cookies und Sitzungdaten im Browser das Risiko, dass gestohlene Credentials oder Session-Cookies unmittelbar zur Kontouebernahme fuehren. Drittens gewinnen fuer Unternehmen Threat Hunting, kontinuierliches Monitoring von Zugangsdaten-Leaks im Darknet und schnelle Incident-Response-Prozesse weiter an Bedeutung.
Der Fall StealC zeigt, dass auch professionell organisierte kriminelle Oekosysteme angreifbar sind, wenn Sicherheitsforscher ihre Infrastruktur technisch und analytisch ins Visier nehmen. Wer in Cyber-Resilienz investiert, proaktiv nach Bedrohungen sucht und seine digitale Hygiene ernst nimmt, reduziert nicht nur das eigene Risiko, sondern traegt zugleich dazu bei, MaaS-Plattformen wie StealC langfristig zu destabilisieren.
