StealC: rubavano cookie, ma hanno lasciato il barattolo aperto

Nel corso della primavera del 2025, gli sviluppatori del malware StealC hanno rilasciato una nuova versione principale del loro software, passando da StealC_v1 a StealC_v2. Pochi giorni dopo il rilascio, il pannello web del malware è trapelato, offrendo agli esperti di sicurezza una rara opportunità di osservare il backend delle operazioni.

Il gruppo ha subito una notevole esposizione pubblica quando TRAC Labs ha pubblicato un’analisi tecnica critica, intitolata “Autopsy of a Failed Stealer: StealC v2”, evidenziando le lacune nella sicurezza e la maturità limitata del malware.

Analisi di un operatore StealC

Uno degli autori di minacce identificati è stato soprannominato YouTubeTA, abbreviazione di YouTube Threat Actor. Nei mesi successivi, è stato possibile osservare le campagne malware a lui associate. YouTubeTA ha gestito diverse build di StealC, etichettate come YouTube, YouTube2 e YouTubeNew, suggerendo un collegamento con piattaforme YouTube per la diffusione del malware.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I dati raccolti dai server del malware indicano che YouTubeTA ha registrato oltre 5.000 log di utenti, comprendenti circa 390.000 password rubate e più di 30 milioni di cookie, in gran parte non sensibili o di tracciamento. Molti dei canali YouTube utilizzati avevano contenuti legittimi e migliaia di iscritti, il che rendeva la loro apparente autenticità uno strumento utile per diffondere software compromesso. In alcuni casi, il malware catturava screenshot delle vittime durante la ricerca di software craccato su YouTube, confermando l’uso della piattaforma per attività illecite.

La vulnerabilità del pannello StealC

L’analisi del pannello web trapelato ha rivelato una semplice vulnerabilità XSS. Gli esperti hanno potuto sfruttarla per raccogliere informazioni sugli operatori stessi, incluse impronte digitali dei computer, dettagli hardware, indicatori di posizione generali e cookie di sessione attivi. L’ironia è evidente: un malware progettato per rubare cookie non era in grado di proteggere i propri.

Questi dati hanno permesso di attribuire l’attività a un singolo operatore e di stimare la sua area geografica approssimativa. L’indicatore principale è stato il fatto che nel pannello era presente un solo account utente, denominato Admin, senza tracce di altri utenti.

Funzionalità del pannello e campagne mirate

Il pannello StealC disponeva di una funzione chiamata “marcatori”, usata per evidenziare credenziali rubate da domini specifici. Nel caso di YouTubeTA, erano inclusi sottodomini di YouTube dedicati ai creatori di contenuti, suggerendo un interesse nel dirottare vecchi account YouTube per diffondere ulteriormente il malware.

Alcuni screenshot mostrano anche l’uso di tecniche di ingegneria sociale, come la pagina Clickfix, popolare nel 2025, dimostrando che l’autore non si limitava all’infezione tramite piattaforma video.

Contesto e finalità della ricerca

StealC è un malware infostealer comparso all’inizio del 2023 e distribuito come Malware-as-a-Service (MaaS). Il software consente di rubare cookie, password e altri dati sensibili dai computer infetti e viene venduto con un pannello web professionale, monitoraggio delle campagne e alcune misure di sicurezza operative.

La ricerca descritta si basa esclusivamente su informazioni pubblicamente disponibili e su artefatti trapelati, condotta a scopi difensivi e didattici. CyberArk Labs condivide questo lavoro per supportare la ricerca responsabile sulla sicurezza e migliorare la comprensione delle minacce informatiche tra gli esperti del settore.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.