インフォスティーラー「StealC」のWeb管理画面のインフォスティーラーした研究者
CYBERARKの研究者が以前に流出したStealCのWeb管理画面ソースコードを解析していた際に、管理画面の脆弱性を発見したとのこと。
脆弱性の詳細は公開されていないが、Web管理画面のCookieを取得可能なXSSに類するものであったらしい。
この脆弱性により、StealCの利用者の分析を行っている。
↓良い記事のタイトルだ。「stealing cookies from cookie stealers」
UNO reverse card: stealing cookies from cookie stealers
StealICといえば、SNSとか、Blenderとかのイメージ
個人的なStealCのイメージは、例えば昨年のTikTokやYoutubeで配信されていたもの。これは、AdobeやCADツールなどが無料で使用できるという宣伝で、StealCをインストールさせられるようなもの。クラックライセンスのアプリケーションをダウンロードして通常の機能が利用できるものの、裏ではインフォスティーラーに感染している。そもそも、通常の機能も使えずにインフォスティーラーに感染するだけのものも多い。
以前に取り上げたBlenderにインフォスティーラーを忍ばせていた手法もStealCが使われていたという報告があった。
なので、Lummaの崩壊?の所為で急激にStealCの利用者が増えたおかげ?で、独特な攻撃手法で話題挙がるという印象
CYBERARKによるYouTube Threat Actorの分析
先に挙げたStealCがYoutubeの宣伝から配信されていたというのに関連しそうな利用者の記録を覗いたらしい。
インフォスティーラーのビルド履歴画面には、YouTube、YouTube2、YouTubeNewなどが含まれていたと。
記録上、StealCによって5000件以上の端末のログ?、39万件以上の盗んだパスワードとか。
ログを分析していくと、StealCの配信は盗んだYoutubeチャンネルに関わる認証情報を使用して、配信を拡大させていったことも分かった。
さらに、CYBERARKの記事ではWeb管理画面へのアクセス記録からYouTube Threat Actor自体の分析をしている。ブラウザのフィンガープリントから、YouTube Threat Actorが一人の攻撃者であると結論づけている。
XSSがトリガーされた際のブラウザの画面幅と高さが全て同じ、WebGLレンダラーがMacのM3が多い、対応言語は英語とロシア語の設定、タイムゾーンはGMT+0300(東ヨーロッパ夏時間)、VPNを使用することがあったがウクライナのIPが露出していることがあったと報告している。
あんまり、XSSについて考えたこと無かったがブラウザのフィンガープリントってそこまで取れるのか。
StealCのセキュリティ実装不備は、これまでにも指摘されている
ちなみに以前にもインフォスティーラー実装上の問題やいくつもの実装不備や設定不備が確認されていたようだ。
今回はWeb管理画面の脆弱性ということだったが、そもそも脆弱性を見つけられた理由がWeb管理画面ソースコードの漏洩があったから。この漏洩自体も、StealCに関連する何らかのセキュリティ脆弱性から来ているかもしれない。
2025年春のStealCの解析では、暗号化する通信するって言って全然暗号化してないじゃん的な指摘があったり。
MaaS(Malware-as-a-Service)運営も苦労してるんだな
MaaS運営も普通のサービス同様にセキュリティ意識を持たなければならない。というか、セキュリティ研究者が狙われるので、より一層とイメージがある。他の攻撃者から攻撃も受けるだろうし。
SantaStealerの例もそうだが、以外とMaaS側はガバガバガバナンスが多いのか?
