概要:StealCマルウェアと研究者の介入
「StealC」は2023年初頭に登場した情報窃取型マルウェアで、ダークウェブのサイバー犯罪チャネルで積極的に宣伝され、その高度な回避能力と広範なデータ窃取機能により急速に人気を博しました。その後、開発者によって機能が複数強化され、昨年4月にリリースされたバージョン2.0では、リアルタイムアラート用のTelegramボットサポートや、テンプレートとカスタムデータ窃取ルールに基づいたStealCビルドを生成できる新しいビルダーが導入されています。
同時期に、このマルウェアの管理パネルのソースコードが流出し、セキュリティ研究者に分析の機会が与えられました。
脆弱性の詳細と研究者の成果
CyberArkの研究者は、管理パネルで使用されているWebベースのコントロールパネルにクロスサイトスクリプティング(XSS)の脆弱性を発見しました。この脆弱性を悪用することで、研究者はStealCオペレーターのアクティブなセッションを監視し、攻撃者のハードウェアに関する情報を収集することが可能となりました。
- オペレーターのブラウザおよびハードウェアのフィンガープリントの収集
- アクティブなセッションの監視
- パネルからのセッションクッキーの窃盗
- パネルセッションのリモートハイジャック
研究者は「脆弱性を悪用することで、脅威アクターのコンピュータの特性(一般的な位置情報インジケーターやコンピュータのハードウェア詳細など)を特定できました」と述べています。
具体的な事例:YouTubeTAの活動
報告書では、「YouTubeTA」というコードネームのStealC顧客の一例が挙げられています。この攻撃者は、おそらく侵害された認証情報を使用して、古くて正規のYouTubeチャンネルを乗っ取り、感染リンクを仕込んでいました。
このサイバー犯罪者は2025年を通じてマルウェアキャンペーンを実行し、5,000件以上の被害者ログ、約390,000件のパスワード、3,000万件のクッキー(そのほとんどは機密性のないもの)を盗み出しました。脅威アクターのパネルのスクリーンショットによると、ほとんどの感染は、被害者がクラック版のAdobe PhotoshopやAdobe After Effectsを検索した際に発生していました。
XSS脆弱性を利用して、研究者はこの攻撃者がApple M3ベースのシステムを使用し、英語とロシア語の言語設定、東ヨーロッパのタイムゾーンを使用し、ウクライナ経由でインターネットにアクセスしていたことを特定しました。攻撃者がVPN経由でStealCパネルに接続し忘れた際に、彼らの実際のIPアドレスが露見し、ウクライナのISPであるTRK Cable TVに関連付けられました。
公開の意図と市場への影響
BleepingComputerがCyberArkに、なぜ今StealCのXSS脆弱性を公開したのか尋ねたところ、研究者のAri Novick氏は、最近のStealCオペレーターの急増を受けて、この操作に混乱を引き起こしたいと述べました。
彼は「XSSの存在を公開することで、オペレーターがStealCマルウェアの使用を再評価することになり、少なくとも何らかの混乱が生じることを期待しています。オペレーターが比較的多数いるため、これはMaaS市場にかなり大きな混乱をもたらす絶好の機会だと考えました」と説明しています。
CyberArkは、マルウェア・アズ・ア・サービス(MaaS)プラットフォームは急速な規模拡大を可能にする一方で、脅威アクターにとって露見する大きなリスクを伴うと指摘しています。