Source: CyberArk Labs — Dans un billet de recherche publié le 15 janvier 2026, les chercheurs décrivent l’exploitation d’une vulnérabilité XSS dans le panneau web de l’infostealer StealC (MaaS) qui leur a permis d’observer les opérateurs, de détourner leurs sessions via cookies non protégés et de documenter une campagne active liée à YouTube.

— Contexte et vulnérabilité — • StealC, vendu en modèle MaaS depuis 2023, a connu une fuite de son panneau web au printemps 2025, peu après le passage à StealC v2, suivie d’un teardown critique de TRAC Labs. • Les chercheurs de CyberArk ont trouvé une XSS « simple » dans le panneau et, en l’exploitant, ont pu récupérer des cookies de session (absence de HttpOnly) et prendre le contrôle de sessions opérateurs — ironique pour une opération dédiée au vol de cookies 🍪.

— Campagne YouTubeTA — • Des builds StealC affichaient des IDs évocateurs: YouTube, YouTube2, YouTubeNew, conduisant à l’acteur suivi comme YouTubeTA. • Le C2 de YouTubeTA contenait >5 000 « logs » incluant ~390 000 mots de passe et >30 millions de cookies (majoritairement non sensibles). • Les captures d’écran prises par StealC montrent des victimes sur YouTube cherchant des logiciels Adobe (Photoshop/After Effects) crackés 🎣, tandis que des chaînes YouTube légitimes et anciennes (avec milliers d’abonnés) semblent détournées pour promouvoir de nouveaux échantillons. • Le panneau montrait des « markers » dédiés à studio.youtube.com (console créateurs), cohérent avec la prise de contrôle de comptes créateurs. Des indices d’usage de la technique de social engineering “clickfix” en 2025 sont également visibles.

— Fingerprinting et attribution opérationnelle — • Indices pointant vers un opérateur unique: un seul utilisateur « Admin » dans le panneau; empreintes matérielles constantes (résolution stable, WebGL indiquant un Apple Pro M3). • Langues supportées: anglais et russe. Fuseau horaire GMT+0300 (EEST). • À une occasion, l’IP n’était pas détectée comme VPN et correspondait à un FAI ukrainien (TRK Cable TV), cohérent avec les autres marqueurs régionaux.

— Enseignements — • Cette étude illustre la fragilité du MaaS et des échecs d’OPSEC côté criminels: réutilisation de code, défauts de sécurité (cookies), fuite de panneau. • Elle montre aussi comment des failles dans l’infrastructure des attaquants peuvent être exploitées par les chercheurs pour cartographier et parfois dévoiler des opérateurs. Article de recherche visant à documenter une opération réelle et ses failles.

— IOCs et TTPs — • IOCs:

  • IDs de build StealC: YouTube, YouTube2, YouTubeNew
  • Domaine ciblé dans les marqueurs: studio.youtube.com
  • Indicateur réseau observé: FAI TRK Cable TV (Ukraine) • TTPs:
  • Distribution via chaînes YouTube détournées et vidéos promouvant des logiciels crackés Adobe
  • Vol de cookies/mots de passe à grande échelle; captures d’écran au runtime du malware
  • Clickfix (ingénierie sociale) pour l’infection
  • XSS du panneau StealC exploitée pour détourner des sessions (cookies non-HttpOnly)
  • Fingerprinting (WebGL, langues, fuseau horaire); usage de VPN avec ratés

🧠 TTPs et IOCs détectés

TTP

[‘Distribution via chaînes YouTube détournées et vidéos promouvant des logiciels crackés Adobe’, ‘Vol de cookies/mots de passe à grande échelle; captures d’écran au runtime du malware’, ‘Clickfix (ingénierie sociale) pour l’infection’, ‘XSS du panneau StealC exploitée pour détourner des sessions (cookies non-HttpOnly)’, ‘Fingerprinting (WebGL, langues, fuseau horaire); usage de VPN avec ratés’]

IOC

[‘IDs de build StealC: YouTube, YouTube2, YouTubeNew’, ‘Domaine ciblé dans les marqueurs: studio.youtube.com’, ‘Indicateur réseau observé: FAI TRK Cable TV (Ukraine)’]

🔗 Source originale : https://www.cyberark.com/resources/threat-research-blog/uno-reverse-card-stealing-cookies-from-cookie-stealers