Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Nel corso della primavera del 2025, gli sviluppatori del malware StealC hanno rilasciato una nuova versione principale del loro software, passando da StealC_v1 a StealC_v2. Pochi giorni dopo il rilascio, il pannello web del malware è trapelato, offrendo agli esperti di sicurezza una rara opportunità di osservare il backend delle operazioni.
Il gruppo ha subito una notevole esposizione pubblica quando TRAC Labs ha pubblicato un’analisi tecnica critica, intitolata “Autopsy of a Failed Stealer: StealC v2”, evidenziando le lacune nella sicurezza e la maturità limitata del malware.
Uno degli autori di minacce identificati è stato soprannominato YouTubeTA, abbreviazione di YouTube Threat Actor. Nei mesi successivi, è stato possibile osservare le campagne malware a lui associate. YouTubeTA ha gestito diverse build di StealC, etichettate come YouTube, YouTube2 e YouTubeNew, suggerendo un collegamento con piattaforme YouTube per la diffusione del malware.
I dati raccolti dai server del malware indicano che YouTubeTA ha registrato oltre 5.000 log di utenti, comprendenti circa 390.000 password rubate e più di 30 milioni di cookie, in gran parte non sensibili o di tracciamento. Molti dei canali YouTube utilizzati avevano contenuti legittimi e migliaia di iscritti, il che rendeva la loro apparente autenticità uno strumento utile per diffondere software compromesso. In alcuni casi, il malware catturava screenshot delle vittime durante la ricerca di software craccato su YouTube, confermando l’uso della piattaforma per attività illecite.
L’analisi del pannello web trapelato ha rivelato una semplice vulnerabilità XSS. Gli esperti hanno potuto sfruttarla per raccogliere informazioni sugli operatori stessi, incluse impronte digitali dei computer, dettagli hardware, indicatori di posizione generali e cookie di sessione attivi. L’ironia è evidente: un malware progettato per rubare cookie non era in grado di proteggere i propri.
Questi dati hanno permesso di attribuire l’attività a un singolo operatore e di stimare la sua area geografica approssimativa. L’indicatore principale è stato il fatto che nel pannello era presente un solo account utente, denominato Admin, senza tracce di altri utenti.
Il pannello StealC disponeva di una funzione chiamata “marcatori”, usata per evidenziare credenziali rubate da domini specifici. Nel caso di YouTubeTA, erano inclusi sottodomini di YouTube dedicati ai creatori di contenuti, suggerendo un interesse nel dirottare vecchi account YouTube per diffondere ulteriormente il malware.
Alcuni screenshot mostrano anche l’uso di tecniche di ingegneria sociale, come la pagina Clickfix, popolare nel 2025, dimostrando che l’autore non si limitava all’infezione tramite piattaforma video.
StealC è un malware infostealer comparso all’inizio del 2023 e distribuito come Malware-as-a-Service (MaaS). Il software consente di rubare cookie, password e altri dati sensibili dai computer infetti e viene venduto con un pannello web professionale, monitoraggio delle campagne e alcune misure di sicurezza operative.
La ricerca descritta si basa esclusivamente su informazioni pubblicamente disponibili e su artefatti trapelati, condotta a scopi difensivi e didattici. CyberArk Labs condivide questo lavoro per supportare la ricerca responsabile sulla sicurezza e migliorare la comprensione delle minacce informatiche tra gli esperti del settore.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]