跨站脚本漏洞击穿防御

自2023年初以"恶意软件即服务"（Malware-as-a-Service, MaaS）模式运作的StealC信息窃取木马，因代码泄露暴露出其Web控制面板存在跨站脚本攻击漏洞。网络安全公司CyberArk Labs利用该漏洞，从专为窃取凭证设计的基础设施中获取系统指纹、监控活跃会话并截获身份认证凭证。

讽刺的是，这些专精于Cookie窃取的运营者竟未部署基础防护措施——例如httpOnly标志——导致其自身凭证因XSS攻击被劫持。

Part02

单人操控5000台感染设备

通过对控制面板的渗透，研究人员追踪到代号"YouTubeTA"（YouTube威胁主体）的运营者。其日志显示：累计控制超过5,000台感染设备，窃取39万组密码及3,000万条Cookie。木马截取的受害者搜索记录表明，YouTubeTA通过入侵拥有成熟订阅基础的合法YouTube频道，诱导用户搜索Adobe Photoshop和After Effects的盗版软件，借此分发StealC。

Part03

精准锁定攻击者身份

控制面板配置数据揭示其蓄意劫持内容创作者账户：系统特别标记了studio.youtube.com的凭证字段，意图扩大恶意软件分发网络。硬件指纹分析证实YouTubeTA为单人操作，所有会话均来自搭载Apple M3芯片的设备。其语言偏好设置为英语与俄语，时区数据指向东欧地区。

关键失误发生在该运营者短暂关闭VPN防护时，真实IP地址暴露——经溯源确认归属乌克兰网络服务商TRK Cable TV。

参考来源：

Researchers Gain Access to StealC Malware Command-and-Control Systems

https://cybersecuritynews.com/researchers-gain-access-to-stealc-malware-command-and-control-systems/

文章来源：FreeBuf