Falha em painel do StealC permite que pesquisadores monitorem cibercriminosos

Tipo principal do conteúdo: Cibersegurança

Pesquisadores de cibersegurança identificaram uma vulnerabilidade de cross-site scripting (XSS) no painel de controle web utilizado por operadores do StealC, um malware do tipo information stealer. Essa falha técnica permitiu que especialistas coletassem impressões digitais dos sistemas, monitorassem sessões ativas e até mesmo roubassem cookies diretamente da infraestrutura dos próprios criminosos, evidenciando uma ironia operacional: o sistema projetado para roubar cookies estava vulnerável ao mesmo tipo de ataque.

O StealC opera sob o modelo de malware como serviço (MaaS) desde 2023, sendo distribuído principalmente por meio de vídeos no YouTube que se passam por cracks de softwares populares. A propagação também ocorre via arquivos maliciosos associados ao Blender e por meio de técnicas de engenharia social, como o FileFix. O painel de administração do StealC, que teve seu código-fonte vazado recentemente, revelou detalhes técnicos sobre os computadores dos operadores, incluindo localização aproximada e informações de hardware, além de expor cookies de sessão.

A falha XSS explorada decorre da ausência de validação e codificação adequada das entradas de usuário no painel, permitindo a execução de scripts maliciosos no navegador de quem acessa o sistema. Apesar do foco do StealC em roubo de cookies, os desenvolvedores não implementaram proteções básicas como o atributo httpOnly, facilitando a exploração do painel por terceiros. Esse descuido técnico demonstra que até mesmo operadores de malware podem ser vítimas de vulnerabilidades comuns em aplicações web.

A análise do painel também revelou informações sobre um dos principais clientes do StealC, conhecido como YouTubeTA, responsável por disseminar o malware via vídeos de software adulterado e por acumular grandes volumes de dados roubados. O estudo destaca que falhas em sistemas MaaS não apenas ampliam o alcance de ameaças, mas também expõem seus próprios operadores a riscos semelhantes aos enfrentados por empresas legítimas, abrindo caminho para novas estratégias de investigação e mitigação por parte da comunidade de cibersegurança.