Une défaillance de sécurité sur le panneau Web utilisé par les opérateurs de vol d'information connu sous le nom de StealC a permis aux chercheurs en cybersécurité de recueillir des informations précieuses sur l'un des acteurs qui utilise ce malware. Grâce à la vulnérabilité de l'interface de gestion (XSS), les experts ont réussi à obtenir des impressions système, à surveiller des sessions actives et même à exfilter des cookies de l'infrastructure elle-même pour les voler.
StealC est un voleur d'informations qui est apparu au début de 2023 et a été commercialisé sous un modèle de malware comme un service (MaaS), ce qui rend plus facile pour des tiers sans grande connaissance technique de l'utiliser pour des campagnes de masse. Parmi ses vecteurs de distribution a mis en évidence l'utilisation de YouTube pour promouvoir prétendument des fichiers "cracketed" de logiciels populaires - un mécanisme que certains chercheurs ont appelé le YouTube Ghost Network- bien qu'il ait également été vu se propager à travers des fichiers malveillants qui supplantaient des ressources légitimes ou avec des techniques d'ingénierie sociale telles que FileFix-type lures.
Avec le passage du temps StealC a intégré de nouvelles fonctionnalités: intégration avec les robots Telegram pour les notifications, améliorations de la livraison des charges utiles et un renouvellement de son panneau d'administration, version qui est venu à être appelé StealC V2. Des semaines plus tard, le code source du panel a été filtré publiquement, ce qui a permis à la communauté des analyses d'étudier le fonctionnement de l'infrastructure et d'extraire les indicateurs présents dans les systèmes des opérateurs, y compris les données matérielles, les pistes géographiques et les cookies de session.
Les détails techniques spécifiques de la vulnérabilité XSS n'ont pas été rendus publics pour empêcher les développeurs de fermer le trou immédiatement ou pour empêcher d'autres acteurs malveillants de réutiliser le panneau filtré pour créer leurs propres services malveillants. Cependant, il faut se rappeler que les vulnérabilités XSS consistent en des injections côté client qui vous permettent d'exécuter le code JavaScript malveillant dans le navigateur de la victime quand une page vulnérable traite les entrées sans les valider ou les encoder correctement. Si vous voulez lire une explication technique et pratique sur XSS, la documentation de Mozilla est un bon point de départ: MDN Web Docs sur XSS et pour un aperçu accessible de ce type d'attaque, le glossaire Fortinet peut être utile: Fortinet - Scénarios croisés.
Une des ironies soulignées par les chercheurs est que, étant le vol de cookies, l'activité centrale de StealC, on pourrait s'attendre à ce que ses opérateurs appliquent des protections de base pour les cookies de session - par exemple le drapeau Http seulement pour rendre difficile pour XSS de voler. L'absence de telles mesures élémentaires a permis aux spécialistes d'extraire plus facilement les cookies du panneau engagé lui-même; pour comprendre ce que le drapeau HttpOnly fournit, vous pouvez voir ce guide pratique: BrowserStack sur Http seulement.
Le travail d'analyse a également permis de profiler un client StealC identifié par les chercheurs comme «YouTubeTA» (par YouTube Threat Actor). Cet acteur aurait utilisé intensivement la plate-forme vidéo pour répandre des installateurs frauduleux promettant des fissures d'applications comme Adobe Photoshop et After Effects. Selon les données recueillies, leurs campagnes ont donné lieu à des milliers d'enregistrements contenant ensemble des centaines de milliers de références et des dizaines de millions de cookies. Bien que la plupart de ces cookies semblent correspondre à des mécanismes de suivi ou à d'autres cookies peu sensibles, la quantité et la variété de données volées ont fourni des cas réels de prise en compte de YouTube, qui à leur tour ont été utilisés pour amplifier la distribution du malware lui-même dans un cercle vicieux.
Les chercheurs ont aussi documenté des signes d'utilisation de faux leurres de type CAPTCHA et d'autres méthodes de tromperie semblables à ClickFix pour attirer les victimes, ce qui indique que la diffusion de StealC ne se limite pas aux seuls liens dans les descriptions vidéo. Le panel a observé la capacité de créer plusieurs utilisateurs avec des rôles différents, et dans le cas spécifique de YouTubeTA, un seul administrateur est apparu. L'analyse de l'environnement technique associé à cet administrateur a mis en évidence une machine avec processeur Apple M3 et configurations linguistiques en anglais et en russe.
Dans une opération de sécurité négligée, l'acteur n'a pas connecté sa session au panel via un VPN pendant une période en juillet 2025, qui a révélé une véritable adresse IP liée à un fournisseur ukrainien connu sous le nom de TRK Cable TV. Ce vol a permis aux analystes de placer géographiquement l'opérateur : il s'agit probablement d'un acteur isolé d'une région d'Europe de l'Est qui utilise fréquemment le russe.
Au-delà des détails particuliers de ce cas, les résultats offrent une leçon stratégique sur l'écosystème MaaS: d'une part, il est plus facile pour les acteurs avec peu de ressources de lancer rapidement des opérations à grande échelle; d'autre part, si les développeurs de ce malware négligent de bonnes pratiques de sécurité dans leurs propres outils, ils finissent par s'exposer aux mêmes risques qu'ils font courir aux autres victimes. En résumé, les auteurs du rapport soulignent que les faiblesses de la protection des cookies et de la qualité du code du panel ont permis d'obtenir une quantité importante d'informations sur les clients de StealC, un chemin que les chercheurs et les autorités pourraient utiliser pour identifier d'autres opérateurs malveillants.
Pour les utilisateurs et les entreprises, le moral est double : d'abord, les téléchargements suspects qui promettent des logiciels de "craquage" et de prioriser les sources officielles; deuxièmement, protéger les comptes avec des mesures telles que l'authentification multifactorielle et examiner régulièrement les sessions actives et les appareils autorisés. Pour les professionnels de la cybersécurité et de l'application de la loi, l'affaire montre que l'analyse d'infrastructures filtrées malveillantes peut révéler des données opérationnelles et des erreurs humaines qui aident à cartographier une menace.
Si vous voulez entrer dans le rapport technique qui a mené à ces conclusions, vous pouvez lire l'analyse publiée par CyberArk : CyberArk - Une carte inversée, et pour plus de contexte sur l'autopsie de la version 2 du panneau, la division Lumma Labs éclaire : Lumma Labs - autopsie d'un voleur raté. Code filtré et échantillons sont également accessibles dans les dépôts d'analyse de malware comme Abus.ch qui peuvent être utiles pour les chercheurs.
Bref, l'incident avec StealC illustre comment la même infrastructure conçue pour piller des données peut devenir une source d'information pour les défenses lorsque leurs auteurs commettent des erreurs de sécurité. Et rappelez-vous: derrière de nombreuses attaques à grande échelle il y a souvent des échecs humains et de conception qui, correctement exploités par la communauté de la sécurité, peuvent aider à atténuer les campagnes futures.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...