Securityonderzoekers van CyberArk slaagden erin om een kritieke fout in de infrastructuur van StealC-malware te misbruiken. Via een XSS-kwetsbaarheid kregen ze toegang tot sessies van cybercriminelen die zelf cookies stalen.
StealC is een infostealer die sinds begin 2023 actief is en wordt aangeboden als Malware-as-a-Service (MaaS). Het platform richt zich op het stelen van cookies, wachtwoorden en andere gevoelige data van geïnfecteerde computers. De markt voor dit soort malware explodeerde in 2025, waarbij infostealers verantwoordelijk zijn voor 86 procent van alle datalekken en wereldwijd 1,8 miljard inloggegevens buitmaakten.
In het voorjaar van 2025 beleefde de StealC-groep turbulente maanden. Direct na de release van versie 2 lekte het webpanel. TRAC Labs publiceerde vervolgens een technische analyse die de kwaliteit van de malware in twijfel trok. Wat destijds geen krantenkoppen haalde, bleek achteraf veel schadelijker. Tijdens analyse van de gelekte code ontdekten onderzoekers een kwetsbaarheid waarmee ze StealC-operators konden observeren.
YouTube als distributiekanaal
De onderzoekers richtten zich op één specifieke operator, YouTubeTA genoemd. Deze aanvaller verspreidde StealC via YouTube-kanalen door malware te vermommen als gekraakte versies van Adobe Photoshop en After Effects. De build-ID’s in het systeem droegen namen als ‘YouTube’, ‘YouTube2’ en ‘YouTubeNew’, wat de distributietactiek verraden had.
YouTubeTA beschikte over ruim 5.000 gestolen logs op de command-and-control server. Deze bevatten 390.000 wachtwoorden en meer dan 30 miljoen cookies. Screenshots die StealC automatisch maakt bij infectie, lieten zien dat slachtoffers op YouTube zochten naar illegale software. De gebruikte YouTube-kanalen hadden vaak duizenden volgers en oudere, legitiem ogende video’s, waardoor ze betrouwbaarder leken.
Vingerafdrukken uit Oekraïne
Door de XSS-kwetsbaarheid te misbruiken, verzamelden onderzoekers systeemgegevens van de operator. YouTubeTA werkte op een Apple-apparaat met M3-processor en gebruikte Engels en Russisch als talen. De tijdzone wees naar Oost-Europa. In juli 2025 maakte de crimineel een fout: toegang tot het panel zonder VPN. Het IP-adres bleek van Oekraïense provider TRK Cable TV, consistent met eerdere bevindingen.
De hardware- en software-kenmerken bleven constant bij elke trigger van de XSS-payload. Dit suggereerde één persoon in plaats van een groep. Het StealC-panel ondersteunt wel meerdere gebruikers, maar bij YouTubeTA was slechts één account actief: Admin. De nauwkeurigheid van deze vingerafdrukken gaf onderzoekers uniek inzicht in de operatie.
Zwakte van het MaaS-model
De XSS-fout in het StealC-panel illustreert een fundamentele kwetsbaarheid van Malware-as-a-Service. Criminelen die hun infrastructuur uitbesteden aan derden, worden afhankelijk van de kwaliteit van die code. StealC-ontwikkelaars implementeerden geen httpOnly-beveiliging voor cookies, een basismaatregel die XSS-aanvallen zoals deze had kunnen blokkeren.
De MaaS-markt groeide explosief, met infostealer-aanvallen die in 2024 met 58 procent toenamen. Platforms zijn voor enkele honderden dollars per maand beschikbaar, waardoor cybercriminaliteit toegankelijk wordt voor weinig technische gebruikers. Maar die democratisering brengt risico’s met zich mee. YouTubeTA’s succes, duizenden slachtoffers in enkele maanden, toont de kracht van MaaS. De blootstelling via slechte panelbeveiliging laat de keerzijde zien.
CyberArk deelde niet alle details van de kwetsbaarheid. Dat moet voorkomen dat StealC-ontwikkelaars het probleem oplossen of dat anderen het gelekte panel gebruiken voor eigen operaties. De bevindingen bieden wel hoop voor onderzoekers en wetshandhavers. Als deze zwakheden typerend zijn voor MaaS-infrastructuur, ontstaan nieuwe mogelijkheden om malware-operators te identificeren.
Tip: Phishing-as-a-Service steeds toegankelijker voor cybercriminelen