セキュリティ研究者によるStealCインフラの侵害

セキュリティ研究者が、マルウェア「StealC」のインフラストラクチャに侵入し、その制御パネルへのアクセスに成功しました。これは、サイバー犯罪のインフラが、急ぎで構築され、再利用され、セキュリティが不十分であるという共通の弱点を浮き彫りにしています。今回の侵害は、まさに被害者の認証情報を盗むために設計されたマルウェアインフラ自体を悪用することで実現しました。

StealCマルウェアの脆弱性

StealCは、2023年初頭からMaaS（Malware-as-a-Service）モデルで流通しているインフォスティーラー型マルウェアです。感染したコンピューターからクッキー、パスワード、機密データを窃取し、キャンペーンを追跡するための洗練されたウェブパネルを提供しています。しかし、2025年春に研究者たちがそのインフラに深刻な脆弱性を発見し、StealCの運用に大きな打撃を与えました。

XSS脆弱性の悪用と情報窃取

StealC v2のリリース後、ウェブパネルのコードが公開され、その分析中にクロスサイトスクリプティング（XSS）脆弱性が特定されました。このセキュリティ上の欠陥を利用することで、研究者たちはStealCの運営者の活動を監視し、システムフィンガープリントを収集し、アクティブなセッションを追跡し、皮肉にもクッキー窃盗のために設計されたインフラからセッションクッキーを盗むことに成功しました。

YouTubeTAの特定と大規模な被害

このパネルの脆弱性を悪用した結果、「YouTubeTA」として知られる脅威アクターが特定されました。彼は5,000台以上の被害者のマシンを侵害し、390,000以上のパスワードと3,000万以上のクッキーを窃取していました。マルウェアが取得したスクリーンショットからは、被害者がAdobe PhotoshopやAfter Effectsのクラック版を検索していたことが判明しています。

YouTubeTAの配布方法は、長期間投稿履歴のある、登録者数の多い正規のYouTubeチャンネルを乗っ取るというものでした。これらの乗っ取られたチャンネルは、休止期間の後、マルウェアが仕込まれたクラックソフトウェアのダウンロードを宣伝し始めました。StealCパネルの「マーカー」機能は、studio.youtube.comの認証情報を強調しており、YouTubeTAがさらに感染を広めるためにYouTubeクリエイターアカウントを盗むという戦略を裏付けています。

単一の脅威アクターYouTubeTAのプロファイル

パネル分析の結果、YouTubeTAは組織化されたグループではなく、単一の脅威アクターとして活動していることが明らかになりました。ハードウェアのフィンガープリンティングでは、一貫した画面寸法とWebGLレンダラーデータが示され、Apple M3プロセッサを使用していることが示唆されました。言語サポートは英語とロシア語の能力を示し、タイムゾーンデータ（GMT+0300、東ヨーロッパ夏時間）は地理的な場所を絞り込みました。

2025年7月に運営者がVPN保護なしで一時的にパネルにアクセスした際、研究者たちはウクライナのISP TRK Cable TVに関連するIPアドレスを捕捉し、他の指標と一致する東ヨーロッパの帰属を確定しました。

MaaSモデルの弱点と教訓

今回の侵害は、MaaSモデルに内在する弱点を浮き彫りにしています。YouTubeTAのような個々の運営者が何十万もの認証情報を効率的に盗むことを可能にする一方で、このモデルはサプライチェーンの脆弱性を生み出します。StealC開発者の不十分なセキュリティ対策、特にhttpOnlyクッキー保護の実装の欠如は、彼らの顧客ベース全体を研究者による監視に晒しました。

これは、インフラの欠陥がいかに複数の脅威アクターを同時に侵害し、セキュリティ研究者や法執行機関に貴重な情報収集の機会を提供するかの典型的な例を示しています。

---

元記事: https://gbhackers.com/researchers-breach-stealc-infrastructure/