Onderzoekers hacken malwarebende via eigen zwakke plek

maandag, 19 januari 2026 (17:09) - Techzine

In dit artikel:

Beveiligingsonderzoekers van CyberArk maakten in het voorjaar van 2025 misbruik van een XSS-kwetsbaarheid in het beheerpaneel van de StealC-infostealer en konden daardoor sessies en systeemgegevens van cybercriminelen observeren die zelf bezig waren met het stelen van cookies en wachtwoorden. StealC is sinds begin 2023 als Malware‑as‑a‑Service (MaaS) op de markt en richt zich op het buitmaken van aanmeldgegevens en browsercookies; infostealers waren in 2025 goed voor een zeer groot deel van datalekken.

De onderzoekers concentreerden zich op één operator, die zij YouTubeTA noemen. Deze aanvaller verspreidde StealC via YouTube door malware te verpakken als gekraakte versies van Adobe Photoshop en After Effects; build‑ID’s in het paneel wezen expliciet naar die distributiemethode. Op de command‑and‑controlserver van YouTubeTA vond CyberArk meer dan 5.000 gestolen logs met circa 390.000 wachtwoorden en ruim 30 miljoen cookies. Automatisch gemaakte screenshots lieten zien dat slachtoffers vaak op YouTube naar illegale software zochten; de gebruikte kanalen oogden oud en betrouwbaar en hadden vaak duizenden volgers.

Uit de door XSS verkregen gegevens bleek dat YouTubeTA vanaf een Apple‑apparaat met M3‑chip werkte, Engels en Russisch gebruikte en in een Oost‑Europese tijdzone zat. In juli 2025 maakte de operator één moment geen gebruik van een VPN; het daaruitvolgende IP‑adres hoorde bij de Oekraïense provider TRK Cable TV. Constante hardware‑ en softwarevingerafdrukken bij iedere trigger suggereren dat het om één persoon ging en niet een grote groep gebruikers, ondanks dat het StealC‑panel meerdere accounts kan ondersteunen.

De kwetsbaarheid legt ook de zwakte van het MaaS‑model bloot: ontwikkelaars van StealC hadden elementaire beveiligingen zoals httpOnly voor cookies niet afgedwongen, waardoor XSS eenvoudig misbruikt kon worden. De groei van de MaaS‑markt — met infostealer‑aanvallen die sterk toenamen (58% in 2024) en betaalbare platforms voor enkele honderden dollars per maand — maakt cybercriminaliteit toegankelijker, maar vergroot ook het risico dat hetzelfde onveilig opgezette platform onderzoekers en opsporing in staat stelt operators te identificeren.

CyberArk publiceerde niet alle technische details om te voorkomen dat ontwikkelaars het gat dichten of dat kwaadwillenden het gelekte paneel gebruiken. De bevindingen tonen echter aan dat operationele foutjes en slecht beveiligde MaaS‑infrastructuur kansen bieden voor onderzoekers en politie om cybercriminelen te traceren.