Uma falha de segurança no painel web que usa os operadores do info-stealer conhecido como StealC permitiu que pesquisadores de cibersegurança coletassem informações valiosas sobre um dos atores que emprega esse malware. Graças a uma vulnerabilidade do tipo cross-site scripting (XSS) na interface de administração, os especialistas conseguiram obter pegadas de sistemas, monitorar sessões ativas e até exfiltrar cookies da própria infraestrutura destinada a as roubar.
StealC é um ladrão de informação que apareceu no início de 2023 e foi comercializado sob um modelo de malware como serviço (MaaS), o que facilita que terceiros sem grandes conhecimentos técnicos o utilizem para campanhas em massa. Entre seus vetores de distribuição destacou o uso do YouTube para promover arquivos supostamente “crackeados” de software popular – um mecanismo que alguns pesquisadores denominaram a YouTube Ghost Network — embora também tenha sido proibido através de arquivos maliciosos que suplantam recursos legítimos ou com técnicas de engenharia social como os señuelos tipo FileFix.
Com o passar do tempo, StealC incorporou novas funcionalidades: integração com bots do Telegram para notificações, melhorias na entrega de payloads e renovação do seu painel de administração, versão que chegou a denominar-se StealC V2. Semanas depois, o código-fonte do painel foi filtrado publicamente, o que ofereceu à comunidade de análise a oportunidade de estudar como opera a infraestrutura e extrair indicadores presentes nos sistemas dos operadores, incluindo dados de hardware, pistas geográficas e cookies de sessão.
Os detalhes técnicos concretos da vulnerabilidade XSS não foram tornados públicos para evitar que os desenvolvedores fechem o buraco de imediato ou para impedir que outros atores maliciosos reutilizem o painel filtrado para criar seus próprios serviços de malware. No entanto, convém lembrar que as vulnerabilidades XSS consistem em injecções do lado do cliente que permitem executar código JavaScript malicioso no navegador da vítima quando uma página vulnerável processa entradas sem validar ou codificar corretamente. Se você quer ler uma explicação técnica e prática sobre XSS, a documentação do Mozilla é um bom ponto de partida: MDN Web Docs sobre XSS, e para uma visão geral acessível sobre este tipo de ataques, o glossário de Fortinet pode ser útil: Fortinet - Cross-Site Scripting.
Uma das ironias que enfatizam os pesquisadores é que, sendo o roubo de cookies o negócio central de StealC, poderia esperar que seus operadores apliquem protecções básicas para os cookies de sessão — por exemplo a bandeira HttpOnly para dificultar o roubo por XSS. A ausência de medidas tão elementares facilitou que os especialistas pudessem extrair cookies do próprio painel comprometido; para compreender o que a bandeira HttpOnly oferece pode consultar este guia prático: BrowserStack sobre HttpOnly.
O trabalho de análise permitiu também perfilar um cliente do serviço StealC identificado pelos pesquisadores como “YouTubeTA” (por YouTube Threat Actor). Este ator teria usado de forma intensiva a plataforma de vídeo para difundir instaladores fraudulentos que prometiam cracks de aplicativos como Adobe Photoshop e After Effects. De acordo com os dados coletados, suas campanhas deram origem a milhares de registros que, em conjunto, continham centenas de milhares de credenciais e dezenas de milhões de cookies. Embora a maioria desses cookies pareça corresponder a mecanismos de rastreamento ou outros cookies de baixa sensibilidade, a quantidade e variedade de dados roubados facilitou casos de tomada de controle de contas reais do YouTube, as quais por sua vez foram usadas para amplificar a distribuição do próprio malware em um círculo vicioso.
Os pesquisadores também documentaram sinais de uso de senheiros de tipo CAPTCHA falso e outros métodos de engano semelhantes ao ClickFix para atrair vítimas, o que indica que a difusão de StealC não se limita apenas a links em descrições de vídeo. No painel observou-se a capacidade de criar múltiplos usuários com diferentes papéis, e no caso concreto do YouTubeTA só aparecia um administrador. A análise do ambiente técnico associado a esse administrador apontou uma máquina com processador Apple M3 e configurações de idiomas em inglês e russo.
Em um descuido de operação de segurança, o ator não conectou sua sessão ao painel através de uma VPN durante um período em julho de 2025, o que deixou descoberto um endereço IP real ligado a um fornecedor ucraniano conhecido como TRK Cable TV. Essa fuga permitiu aos analistas colocar geograficamente o operador: probabilísticamente se trata de um ator solitário que opera desde uma região da Europa Oriental com uso frequente do russo.
Além dos detalhes particulares deste caso, os achados oferecem uma lição estratégica sobre o ecossistema MaaS: por um lado, facilita que atores com poucos recursos lancem operações em grande escala com rapidez; por outro, se os desenvolvedores desse malware descuidam boas práticas de segurança em suas próprias ferramentas, acabam se expondo aos mesmos riscos que causam a outras vítimas. Como resumo sobre este ponto, os autores do relatório indicam que as fraquezas na proteção de cookies e na qualidade do código do painel permitiram reunir uma quantidade significativa de informações sobre os clientes de StealC, uma via que pesquisadores e autoridades poderiam aproveitar para identificar outros operadores maliciosos.
Para usuários e empresas, a moral é dupla: primeiro, suspeitar de downloads que prometem software “crackeado” e priorizar fontes oficiais; segundo, proteger contas com medidas como autenticação multifator e revisar regularmente sessões ativas e dispositivos autorizados. Para profissionais de cibersegurança e forças de ordem, o caso demonstra que analisar infra-estruturas maliciosas filtradas pode revelar tanto dados operacionais como erros humanos que ajudam a traçar o mapa de uma ameaça.
Se você quer aprofundar o relatório técnico que originou essas conclusões, você pode ler a análise publicada por CyberArk: CyberArk - Um Reverse Card, e para mais contexto sobre a autópsia da versão 2 do painel, o despiece de Lumma Labs é esclarecedor: Lumma Labs - Autopsy of a failed stealer. O código e amostras filtradas também estão acessíveis em repositórios de análise de malware como Abuse.ch, que podem ser úteis para pesquisadores.
Em suma, o incidente com StealC ilustra como a mesma infraestrutura projetada para saquear dados pode se tornar uma fonte de informação para defesas quando seus responsáveis cometem erros de segurança. E lembra: por trás de muitos ataques em grande escala, muitas vezes existem falhas humanas e de design que, correctamente explorados pela comunidade de segurança, podem ajudar a atenuar futuras campanhas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...