کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک آسیبپذیری اسکریپتنویسی میانسایتی (XSS) در پنل مدیریتی بدافزار StealC خبر دادهاند؛ نقصی که منجر به افشای اطلاعات فنی و عملیاتی یکی از مهاجمانی شده که از این بدافزار استفاده میکرده است.
به گزارش کمیته رکن چهارم، این آسیبپذیری در پنل تحت وب StealC شناسایی شده؛ بدافزاری از نوع سرقت اطلاعات که در قالب مدل «بدافزار بهعنوان سرویس» فعالیت میکند. پژوهشگران شرکت CyberArk با بهرهبرداری از این ضعف امنیتی موفق شدهاند دادههایی مانند نشستهای فعال، کوکیها و اثرانگشت سیستمهای اپراتورهای بدافزار را جمعآوری کنند.
StealC نخستینبار در سال ۱۴۰۱ شناسایی شد و بهطور گسترده برای سرقت رمزهای عبور و کوکیها مورد استفاده قرار گرفته است. این بدافزار عمدتاً از طریق انتشار نسخههای جعلی و کرکشده نرمافزارهای محبوب، بهویژه در بستر یوتیوب، توزیع میشود و در ماههای اخیر نسخه جدیدی از آن با عنوان StealC V2 در حال فعالیت بوده است.
پس از افشای کد منبع پنل مدیریتی StealC، پژوهشگران متوجه وجود ضعف XSS شدند که امکان اجرای کد جاوااسکریپت در مرورگر اپراتور بدافزار را فراهم میکرد. این نقص به آنها اجازه داد کوکیهای نشست و اطلاعات محیط کاری یکی از مشتریان StealC را استخراج کنند؛ مهاجمی که با نام YouTubeTA شناخته میشود.
بر اساس یافتهها، این مهاجم از حسابهای واقعی یوتیوب برای تبلیغ نرمافزارهای کرکشده استفاده کرده و در نتیجه، هزاران سیستم آلوده، صدها هزار رمز عبور و میلیونها کوکی جمعآوری شده است. در یک خطای امنیتی قابل توجه، آدرس IP واقعی این فرد نیز در یکی از اتصالها فاش شده که به یک ارائهدهنده اینترنت در اروپای شرقی نسبت داده میشود.
کارشناسان امنیتی تأکید میکنند این رخداد نشان میدهد حتی زیرساختهای مجرمان سایبری نیز از ضعفهای کلاسیک امنیت وب در امان نیستند و چنین نقصهایی میتوانند به ابزار شناسایی و ردگیری اپراتورهای بدافزار تبدیل شوند.
این پرونده بار دیگر اهمیت رعایت اصول اولیه امنیت نرمافزار را برجسته میکند؛ اصولی که نادیده گرفتن آنها، حتی برای توسعهدهندگان بدافزار، میتواند به افشای هویت و شکست عملیات منجر شود.
