Una vulnerabilita di tipo cross site scripting nel pannello di controllo web usato dagli operatori di StealC ha permesso ai ricercatori di osservare da vicino le attivita di un attore malevolo che utilizza questo information stealer. Sfruttando il bug, e stato possibile raccogliere impronte del sistema, monitorare sessioni attive e perfino sottrarre cookie di sessione dall infrastruttura progettata per rubare cookie alle vittime, un paradosso che evidenzia quanto spesso anche i criminali digitali trascurino le basi della sicurezza web.

StealC e un malware specializzato nel furto di informazioni, comparso nel 2023 e distribuito con un modello malware as a service. Questo approccio abbassa la barriera di ingresso e consente a piu soggetti di acquistare o noleggiare il malware, gestendolo tramite un pannello amministrativo. Negli ultimi mesi la diffusione e stata collegata a tecniche di social engineering e a canali di distribuzione ingannevoli, tra cui contenuti che promettono crack di software popolari e altri vettori che spingono l utente a eseguire file apparentemente legittimi.

Nel tempo StealC ha ricevuto aggiornamenti importanti, inclusa l integrazione con bot di messaggistica per notifiche operative, funzioni di consegna del payload migliorate e un pannello ridisegnato, spesso indicato come una nuova versione. Un elemento chiave e stato il leak del codice sorgente del pannello di amministrazione, che ha offerto alla comunita di ricerca un opportunita rara: analizzare come gli operatori gestiscono utenti, privilegi e sessioni, e individuare debolezze sfruttabili per intelligence difensiva.

Le vulnerabilita XSS rientrano nelle iniezioni lato client e consentono l esecuzione di codice JavaScript nel browser quando una pagina vulnerabile viene caricata. Se gli input non vengono validati e codificati correttamente, un aggressore puo rubare cookie, impersonare sessioni e accedere a dati sensibili. In questo caso, la mancanza di misure come cookie con attributo httpOnly ha reso piu semplice intercettare le sessioni degli stessi operatori.

L analisi ha anche evidenziato un cliente noto per l uso intensivo di piattaforme video per promuovere software pirata contenente il malware, con una raccolta massiva di credenziali e cookie. Inoltre, errori di operational security come l accesso al pannello senza VPN hanno esposto indicatori utili a stimare area geografica e dettagli tecnici della macchina, dimostrando come falle applicative e scarsa disciplina operativa possano trasformarsi in vantaggi per ricercatori e forze dell ordine.