黑客反被黑客黑：研究人员劫持 StealC 控制面板，窃取攻击者情报

StealC 信息窃取恶意软件运营商所使用的基于 Web 的控制面板中存在一个 跨站脚本（XSS）漏洞，该漏洞允许研究人员观察活跃会话，并收集攻击者的硬件情报。

StealC 于 2023 年初在暗网网络犯罪频道上通过激进推广而兴起。凭借其规避检测和广泛的数据窃取能力，它迅速流行起来。 

在随后的几年里，StealC 的开发者不断进行多项增强。去年 4 月发布 2.0 版本时，恶意软件作者引入了 Telegram 机器人支持以实现实时警报，并推出了一个新的构建器，可基于模板和自定义数据窃取规则生成 StealC 样本。

大约在同一时间，该恶意软件管理面板的源代码被泄露，这为研究人员提供了分析机会。

CyberArk的研究人员发现了一个 XSS 漏洞，利用该漏洞，他们能够收集 StealC 运营商的浏览器和硬件指纹，观察活跃会话，窃取面板的会话 Cookie，并远程劫持面板会话。 

黑客反被黑客黑：研究人员劫持 StealC 控制面板，窃取攻击者情报

The StealC 构建面板

为了防止 StealC 运营商迅速查明并修复该漏洞，CyberArk 未披露有关该 XSS 漏洞的具体技术细节。重点介绍了一位名为 “YouTubeTA”的 StealC 客户案例。该客户可能利用泄露的凭证劫持了旧的、合法的 YouTube 频道，并植入了感染链接。

这名网络犯罪分子在整个 2025 年期间运行恶意软件活动，收集了超过5,000 条受害者日志，窃取了约39 万个密码和3000 万个Cookie（其中大部分是非敏感的）。

黑客反被黑客黑：研究人员劫持 StealC 控制面板，窃取攻击者情报

YouTubeTA的标记页面

来自威胁者面板的截图显示，大多数感染发生在受害者搜索Adobe Photoshop和Adobe After Effects的破解版本时。

通过利用 XSS 漏洞，研究人员能够确定该攻击者使用的是基于Apple M3的系统，语言设置为英语和俄语，使用东欧时区，并通过乌克兰访问互联网。

当威胁者忘记通过 VPN 连接 StealC 面板时，其位置就会暴露，泄露了他们的真实 IP 地址，该地址与乌克兰 ISP TRK Cable TV相关联。

CyberArk 指出，恶意软件即服务（MaaS）平台虽然能实现快速扩展，但也给威胁者带来了巨大的暴露风险。