Vendre un malware conçu pour voler des cookies suppose un minimum de rigueur côté sécurité. Avec StealC, cette rigueur a manifestement fait défaut. Une faille web basique dans son panneau de contrôle aurait permis à des chercheurs d’observer l’activité des opérateurs… et de leur voler leurs propres sessions.
Apparu fin 2022 / début 2023 et rapidement adopté dans l’écosystème malware-as-a-service (MaaS), StealC s’est imposé comme un infostealer prêt à l’emploi, monétisé selon des codes proches d’un service logiciel, console web incluse. Au printemps 2025, le passage à StealC v2, puis la fuite du code du panneau d’administration, ont offert une rare opportunité d’observer la mécanique de l’intérieur. Les chercheurs de CyberArk Labs expliquent y avoir trouvé une vulnérabilité XSS exploitable pour exécuter du code dans le navigateur d’un opérateur connecté et, au passage, récupérer des cookies de session insuffisamment protégés contre ce type d’attaque.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
StealC pris en flagrant défaut de sécurité
Après la fuite du code du panneau StealC, CyberArk Labs a analysé l’interface utilisée pour gérer les campagnes et consulter les données remontées par les infections. Les chercheurs disent y avoir découvert une faille XSS dans le panneau d’administration, permettant d’exécuter du code dans le navigateur d’un opérateur déjà connecté, sans accès côté serveur.
Cette exécution leur aurait ensuite permis de collecter des empreintes liées à l’environnement de connexion, comme l’affichage, les langues ou le fuseau horaire, afin de recouper plusieurs sessions et les rattacher à un même opérateur.
Mais surtout, les chercheurs affirment avoir pu récupérer des cookies de connexion encore valides, et s’en servir pour reprendre des sessions depuis leurs propres machines. Pour un stealer dont le fonds de commerce repose sur le détournement de comptes, ça fait désordre.
Les acteurs malveillants : mêmes failles, mêmes erreurs
Sans grande surprise, à force de se structurer, le cybercrime finit par ressembler à un service en ligne comme les autres. Console d’admin, comptes, bases de données, sauvegardes, authentification. Et avec ça, les mêmes points faibles, les mêmes ratés. Quand ces écosystèmes craquent, ce n’est presque jamais sur une trouvaille inédite. On retombe sur une injection côté web, une configuration bancale, une maintenance expédiée, ou des sessions protégées à la légère.
En témoigne la chute de DanaBot, par exemple, alors qu’une faiblesse introduite en juin 2022 a laissé, sur la durée, des informations remonter sur l’infrastructure et sur ses opérateurs, avant le coup d’arrêt (temporaire) de mai 2025 mené dans le cadre de l’opération Endgame. Même logique avec l’épisode attribué à ShinyHunters, piégé par une infrastructure factice pensée pour attirer les intrusions et récolter des traces, ainsi que celui concernant BreachForums, avec la diffusion d’une base d’utilisateurs et d’éléments internes, dont la clé PGP du forum et son mot de passe, l’équipe évoquant une restauration mal maîtrisée à l’été 2025.
Ces incidents ne rendent évidemment pas les opérations moins dangereuses, mais ils les rendent plus lisibles. Quand une console, une base ou des sessions finissent exposées, les recoupements deviennent plus simples, les habitudes ressortent, et on comprend mieux à qui l’on a affaire, ce qui aide aussi à mieux se protéger.
Source : CyberArk
