Киберпреступление и наказание. «гений киберпреступности» из Украины слил себя за свои же деньги

Разработчики вредоносного ПО сами стали жертвами уязвимости, которую не заметили в собственной инфраструктуре. Речь идёт о распространённом инфостилере StealC, функционирующем по модели «вредоносное ПО как услуга» и активно использующемся для кражи cookies, паролей и других конфиденциальных данных. Несмотря на внешнюю «профессиональность» продукта — с удобной панелью управления, системой отслеживания кампаний и мнимой операционной безопасностью — уязвимости в его веб-интерфейсе обернулись против самих создателей.

Переход на вторую версию StealC весной 2025 года ознаменовался чередой неудач. Почти сразу после релиза утёк исходный код панели управления, а команда TRAC Labs выпустила критический технический разбор с говорящим названием «Аутопсия неудачного стилера». Однако за пределами заголовков остался более важный эпизод — уязвимость в панели позволила специалистам получить доступ к данным злоумышленников, включая отпечатки систем, активные сессии, украденные ими куки и IP-адреса, с которых осуществлялся доступ к панели.

Ошибка XSS в панели StealC оказалась настолько простой, что позволила подключиться к сессиям злоумышленников и управлять ими со сторонних машин. Специалисты отмечают иронию ситуации: разработчики инструмента для массовой кражи cookies не обеспечили даже базовую защиту собственных данных, проигнорировав функции безопасности, такие как httpOnly.

Особое внимание исследователей привлёк оператор, обозначенный как YouTubeTA. Его вредоносные кампании строились на использовании старых YouTube-аккаунтов, ранее загружавших легитимные видео. Спустя время такие аккаунты начинали распространять вредоносные файлы, замаскированные под взломанные версии программ Adobe.

Жертвы сами искали подобный контент на YouTube, где и сталкивались с заражёнными ссылками. При запуске StealC делал скриншоты, которые позволили увидеть, что пользователи действительно находились на соответствующих страницах в момент заражения.

Сервер управления YouTubeTA содержал свыше 5 тыс. логов, собранных через StealC. В них — более 390 тыс. паролей и около 30 млн cookies, хотя большинство из последних оказались не чувствительными. Через веб-интерфейс StealC злоумышленник также выделял учётные данные с конкретных доменов, например, «studio.youtube[.]com» — платформы для авторов контента, что подтверждает попытки захвата популярных YouTube-каналов.

Инструмент Clickfix, ставший популярным в 2025 году, также применялся в кампаниях YouTubeTA. Эта техника социальной инженерии эксплуатирует незащищённые настройки браузера, вынуждая жертву кликать по вредоносным элементам под видом обновлений или исправлений.

Сбор данных с панели дал основания считать, что YouTubeTA — не группа, а одиночный оператор. Во всех сессиях фиксировались одинаковые аппаратные характеристики: экран и WebGL-рендерер указывали на устройство Apple с процессором M3. Панель управления использовалась одним пользователем с правами администратора. И один из IP-адресов, с которого осуществлялся доступ в июле 2025 года, принадлежал украинскому интернет-провайдеру.

История с YouTubeTA подчёркивает, насколько уязвимы злоумышленники, использующие модели MaaS. Делегируя задачи другим, они открывают доступ к своей инфраструктуре, где любая ошибка разработчиков может привести к утечке данных и деанонимизации. Как оказалось, даже те, кто ворует данные, не застрахованы от того, чтобы стать жертвой собственной халатности.