Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Fallo XSS en StealC expone a operadores de malware

Fallo XSS en StealC expone a operadores de malware

por Dragora

Un fallo de cross-site scripting (XSS) descubierto en el panel de control web del malware StealC, uno de los stealers de información más activos del panorama actual, permitió a investigadores en ciberseguridad observar sesiones activas, secuestrar paneles administrativos y recopilar inteligencia crítica sobre los propios atacantes. El hallazgo demuestra que incluso las infraestructuras criminales más sofisticadas pueden convertirse en su propio punto débil.

La vulnerabilidad fue identificada por investigadores de CyberArk, quienes aprovecharon el fallo para recopilar huellas digitales de navegadores, detalles de hardware, ubicación aproximada y hábitos operativos de los operadores de StealC, un malware ampliamente utilizado bajo el modelo de Malware-as-a-Service (MaaS).


StealC: del ascenso en 2023 a una amenaza consolidada

StealC apareció a principios de 2023, promocionado agresivamente en foros clandestinos y canales de la dark web. Su rápido ascenso se debió a una combinación de fuertes capacidades de evasión, actualizaciones constantes y un enfoque claro en el robo masivo de datos, incluyendo credenciales, cookies, información del navegador y otros artefactos sensibles.

En los años siguientes, el desarrollador de StealC introdujo múltiples mejoras funcionales. Uno de los hitos más importantes fue el lanzamiento de StealC 2.0 en abril, versión que incorporó:

  • Soporte para bots de Telegram, con alertas en tiempo real

  • Un nuevo constructor (builder) capaz de generar muestras personalizadas

  • Reglas avanzadas de filtrado y selección de datos robados

  • Plantillas configurables orientadas a campañas específicas

Estas mejoras reforzaron la posición de StealC como una herramienta atractiva para ciberdelincuentes con distintos niveles de experiencia.


La filtración del panel y el descubrimiento del XSS

Por la misma época del lanzamiento de StealC 2.0, el código fuente del panel de administración se filtró, ofreciendo a los investigadores una oportunidad única para analizar su funcionamiento interno. Durante este análisis, el equipo de CyberArk descubrió un fallo XSS crítico que afectaba directamente a los operadores del malware.

La explotación de esta vulnerabilidad permitió a los investigadores:

  • Observar sesiones activas de operadores de StealC

  • Recuperar cookies de sesión válidas

  • Secuestrar sesiones del panel de control de forma remota

  • Obtener fingerprints de navegador y hardware

“Al explotar la vulnerabilidad, pudimos identificar características de los ordenadores del actor amenazante, incluyendo indicadores generales de ubicación y detalles del hardware informático”, explicaron los investigadores.

CyberArk optó por no revelar detalles técnicos específicos del XSS, con el objetivo de evitar que los desarrolladores de StealC corrigieran rápidamente el fallo antes de que su impacto disuasorio surtiera efecto.


Inteligencia del atacante: cuando el cazador es cazado

Uno de los aspectos más reveladores del informe es el nivel de inteligencia operacional que pudo extraerse sobre los operadores de StealC. Gracias al secuestro de sesiones del panel, los investigadores lograron identificar:

  • Idiomas configurados: inglés y ruso

  • Zona horaria: Europa del Este

  • Sistema utilizado: Apple con chip M3

  • Acceso a internet desde Ucrania

En un descuido crítico, uno de los operadores olvidó conectarse a través de una VPN, exponiendo su dirección IP real, que fue vinculada al proveedor ucraniano TRK Cable TV. Este error subraya cómo incluso actores experimentados pueden cometer fallos operativos que los dejan expuestos.


El caso “YouTubeTA”: robo de canales y malware a gran escala

El informe de CyberArk también destaca un operador concreto de StealC, identificado como “YouTubeTA”, que utilizó el malware para secuestrar canales de YouTube antiguos y legítimos, probablemente mediante credenciales comprometidas.

Desde estos canales, el actor plantaba enlaces infectados, dirigiendo a las víctimas a descargas maliciosas. Las campañas estuvieron activas durante todo 2025 y dejaron cifras alarmantes:

  • Más de 5.000 registros de víctimas

  • Aproximadamente 390.000 contraseñas robadas

  • Más de 30 millones de cookies exfiltradas (la mayoría no sensibles)

Las capturas del panel mostraban que la mayoría de las infecciones se producían cuando las víctimas buscaban versiones crackeadas de Adobe Photoshop y Adobe After Effects, un vector clásico que sigue demostrando su efectividad.


MaaS: escalabilidad rápida, exposición elevada

CyberArk subraya que plataformas Malware-as-a-Service como StealC permiten una rápida escalabilidad del cibercrimen, reduciendo las barreras de entrada para nuevos actores. Sin embargo, este modelo también introduce riesgos estructurales, ya que:

  • Un solo fallo en el panel puede exponer a decenas o cientos de operadores

  • La reutilización de infraestructuras incrementa el impacto de vulnerabilidades

  • La confianza entre actores criminales se convierte en un punto débil

En este contexto, el fallo XSS de StealC no solo es un problema técnico, sino un golpe estratégico contra su ecosistema MaaS.


Por qué CyberArk decidió revelar el fallo ahora

Consultado por BleepingComputer, el investigador Ari Novick explicó que la decisión de hacer público el hallazgo responde a un objetivo claro: causar disrupción.

Según Novick, en los últimos meses se ha observado un aumento notable de operadores de StealC, posiblemente como reacción al colapso y los conflictos internos en torno a Lumma. Publicar la existencia del XSS busca generar desconfianza y fricción entre los usuarios del malware.

“Dado que ahora hay relativamente muchos operadores, parecía una oportunidad ideal para causar una disrupción significativa en el mercado MaaS”, afirmó Novick.


En fin…

El fallo XSS en el panel de StealC es un recordatorio contundente de que la seguridad deficiente no distingue entre defensores y atacantes. En este caso, una vulnerabilidad clásica permitió a los investigadores invertir los roles, recopilando inteligencia valiosa sobre una de las operaciones de robo de información más activas del momento.

Más allá del impacto inmediato, este episodio pone de relieve un problema mayor: la fragilidad inherente de los ecosistemas MaaS, donde la escalabilidad criminal va acompañada de una mayor superficie de ataque. Para la comunidad defensiva, el caso StealC demuestra que atacar la infraestructura del adversario sigue siendo una estrategia eficaz para desestabilizar el cibercrimen desde dentro.

Fuente: BleepingComputer

You may also like

Dejar Comentario

Click to listen highlighted text!