Siber güvenlik araştırmacıları, StealC bilgi hırsızının operatörleri tarafından kullanılan web tabanlı kontrol panelinde, operasyonlarında kötü amaçlı yazılım kullanan tehdit aktörlerinden biri hakkında önemli bilgiler toplamalarına olanak tanıyan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığını ortaya çıkardı.
CyberArk araştırmacısı Ari Novick geçen hafta yayınlanan bir raporda, “Bunu kullanarak sistem parmak izlerini toplamayı, aktif oturumları izlemeyi ve kimseyi şaşırtmayacak bir şekilde, onları çalmak için tasarlanmış altyapıdan çerezleri çalmayı başardık” dedi.
StealC, ilk olarak Ocak 2023’te hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında ortaya çıkan ve potansiyel müşterilerin, kötü amaçlı programı popüler yazılımlara yönelik çatlaklar olarak gizleyerek dağıtmak için YouTube’u birincil mekanizma olarak (YouTube Hayalet Ağı adı verilen bir olgu) kullanmalarına olanak tanıyan bir bilgi hırsızıdır.
Geçen yıl, hırsızın sahte Blender Vakfı dosyaları ve FileFix olarak bilinen bir sosyal mühendislik taktiği aracılığıyla yayıldığı da gözlemlendi. Bu arada StealC, bildirim göndermek için Telegram bot entegrasyonu, gelişmiş yük dağıtımı ve yeniden tasarlanmış bir panel sunan kendi güncellemelerini aldı. Güncellenen sürümün kod adı StealC V2 idi.
Haftalar sonra, kötü amaçlı yazılımın yönetim panelinin kaynak kodu sızdırıldı ve araştırma topluluğuna tehdit aktörlerinin bilgisayarlarının genel konum göstergeleri ve bilgisayar donanımı ayrıntıları gibi özelliklerini tanımlamanın yanı sıra kendi makinelerinden etkin oturum çerezlerini alma fırsatı sağlandı.
Paneldeki XSS kusurunun kesin ayrıntıları, geliştiricilerin deliği kapatmasını veya diğer taklitçilerin sızdırılan paneli kullanarak kendi çalıntı MaaS tekliflerini başlatmasını engellemek için açıklanmadı.
Genel olarak XSS kusurları, bir saldırganın duyarlı bir web sitesinin, site yüklendiğinde kurbanın bilgisayarındaki web tarayıcısında kötü amaçlı JavaScript kodu yürütmesine olanak tanıyan bir istemci tarafı enjeksiyon biçimidir. Bunlar, kullanıcı girişinin doğrulanmaması ve doğru şekilde kodlanmaması sonucu ortaya çıkar ve bir tehdit aktörünün çerezleri çalmasına, onları taklit etmesine ve hassas bilgilere erişmesine olanak tanır.
Novick, “StealC grubunun temel işinin çerez hırsızlığını içerdiği göz önüne alındığında, StealC geliştiricilerinin çerez uzmanları olmasını ve araştırmacıların XSS yoluyla çerezleri çalmasını önlemek için httpOnly gibi temel çerez güvenlik özelliklerini uygulamasını bekleyebilirsiniz” dedi. “İroni şu ki, büyük ölçekli çerez hırsızlığı üzerine kurulu bir operasyon, kendi oturum çerezlerini ders kitabı saldırılarından korumayı başaramadı.”
CyberArk ayrıca, Adobe Photoshop ve Adobe After Effects’in kırık sürümlerinin reklamını yaparak hırsızı dağıtmak için Google’ın video paylaşım platformunu yaygın olarak kullanan ve 390.000 çalıntı şifre ve 30 milyondan fazla çalıntı çerez içeren 5.000’den fazla günlüğü toplayan YouTubeTA (“YouTube Threat Actor” kısaltması) adlı bir StealC müşterisinin ayrıntılarını da paylaştı. Çerezlerin çoğunun izleme çerezleri ve diğer hassas olmayan çerezler olduğu değerlendirilmektedir.
Bu çabaların, tehdit aktörünün meşru YouTube hesaplarının kontrolünü ele geçirmesine ve bunları kırık yazılımları tanıtmak için kullanmasına ve kendi kendini sürdüren bir yayılma mekanizması oluşturmasına olanak sağladığından şüpheleniliyor. Ayrıca StealC’yi dağıtmak için ClickFix benzeri sahte CAPTCHA yemlerinin kullanıldığını vurgulayan kanıtlar da mevcut; bu da bunların YouTube yoluyla yayılan enfeksiyonlarla sınırlı olmadığını gösteriyor.
Daha ileri analizler, panelin operatörlerin birden fazla kullanıcı oluşturmasına ve yönetici kullanıcılarla normal kullanıcılar arasında ayrım yapmasına olanak tanıdığını belirledi. YouTubeTA örneğinde, panelde İngilizce ve Rusça dil ayarlarına sahip Apple M3 işlemci tabanlı bir makine kullandığı söylenen yalnızca bir yönetici kullanıcının yer aldığı tespit edildi.
Tehdit aktörünün operasyonel güvenlik hatası olarak tanımlanabilecek bir şekilde, konumları 2025 yılının Temmuz ayı ortalarında, tehdit aktörünün sanal özel ağ (VPN) üzerinden StealC paneline bağlanmayı unutmasıyla ortaya çıktı. Bu, TRK Cable TV adlı Ukraynalı bir sağlayıcıyla ilişkili olan gerçek IP adreslerini ortaya çıkardı. Bulgular, YouTubeTA’nın Rusça’nın yaygın olarak konuşulduğu bir Doğu Avrupa ülkesinde faaliyet gösteren yalnız kurt bir aktör olduğunu gösteriyor.
Araştırma aynı zamanda, tehdit aktörlerinin kısa sürede geniş bir ölçekte yer almasına olanak tanıyan ve aynı zamanda onları yanlışlıkla meşru işletmelerin karşı karşıya kaldığı güvenlik risklerine maruz bırakan MaaS ekosisteminin etkisinin de altını çiziyor.
CyberArk, “StealC geliştiricileri hem çerez güvenliğinde hem de panel kodu kalitesinde zayıflıklar sergiledi ve bu da müşterileri hakkında büyük miktarda veri toplamamıza olanak sağladı” dedi. “Eğer bu, kötü amaçlı yazılım satan diğer tehdit aktörleri için de geçerliyse, araştırmacılar ve kolluk kuvvetleri benzer kusurlardan yararlanarak birçok kötü amaçlı yazılım operatörünün iç yüzünü anlayabilir ve hatta belki de kimliklerini ortaya çıkarabilir.”