StealC 信息窃取恶意软件运营商所使用的基于 Web 的控制面板中存在一个 跨站脚本（XSS）漏洞，该漏洞允许研究人员观察活跃会话，并收集攻击者的硬件情报。

StealC 于 2023 年初在暗网网络犯罪频道上通过激进推广而兴起。凭借其规避检测和广泛的数据窃取能力，它迅速流行起来。 

在随后的几年里，StealC 的开发者不断进行多项增强。去年 4 月发布 2.0 版本时，恶意软件作者引入了 Telegram 机器人支持以实现实时警报，并推出了一个新的构建器，可基于模板和自定义数据窃取规则生成 StealC 样本。

大约在同一时间，该恶意软件管理面板的源代码被泄露，这为研究人员提供了分析机会。

CyberArk 的研究人员发现了一个 XSS 漏洞，利用该漏洞，他们能够收集 StealC 运营商的浏览器和硬件指纹，观察活跃会话，窃取面板的会话 Cookie，并远程劫持面板会话。 

The StealC 构建面板

为了防止 StealC 运营商迅速查明并修复该漏洞，CyberArk 未披露有关该 XSS 漏洞的具体技术细节。重点介绍了一位名为 "YouTubeTA" 的 StealC 客户案例。该客户可能利用泄露的凭证劫持了旧的、合法的 YouTube 频道，并植入了感染链接。

这名网络犯罪分子在整个 2025 年期间运行恶意软件活动，收集了超过 5,000 条受害者日志，窃取了约 39 万个密码和 3000 万个 Cookie（其中大部分是非敏感的）。

YouTubeTA 的标记页面

来自威胁者面板的截图显示，大多数感染发生在受害者搜索 Adobe Photoshop 和 Adobe After Effects 的破解版本时。

通过利用 XSS 漏洞，研究人员能够确定该攻击者使用的是基于 Apple M3 的系统，语言设置为英语和俄语，使用东欧时区，并通过乌克兰访问互联网。

当威胁者忘记通过 VPN 连接 StealC 面板时，其位置就会暴露，泄露了他们的真实 IP 地址，该地址与乌克兰 ISP TRK Cable TV 相关联。

CyberArk 指出，恶意软件即服务（MaaS）平台虽然能实现快速扩展，但也给威胁者带来了巨大的暴露风险。