Quando gli hacker vengono hackerati: i ricercatori ribaltano la situazione contro i signori del malware StealC

Nel mondo oscuro del cybercrimine, il malware StealC è da tempo un’arma prediletta dai ladri digitali. Ma in un raro colpo di scena, i cacciatori sono diventati prede: i ricercatori di sicurezza hanno hackerato gli hacker, infiltrandosi nel centro di comando di StealC e smascherandone gli operatori. La violazione offre uno sguardo raro sulle vulnerabilità di chi trae profitto dal caos digitale - e un monito: persino i cybercriminali più navigati non sono immuni ai loro stessi trucchi.

StealC è esploso sulla scena del cybercrimine nel 2023, guadagnando rapidamente notorietà per le sue sofisticate tecniche di furto dati e di elusione. Il suo sviluppatore ha mantenuto lo strumento aggiornato, rilasciando la versione 2.0 nell’aprile 2024 con nuove funzionalità come gli avvisi tramite bot Telegram e un builder flessibile per attacchi personalizzati. Ma con la popolarità arriva anche l’attenzione - e quando il codice sorgente del pannello di controllo di StealC è trapelato, si è aperta la porta perché i ricercatori white-hat potessero contrattaccare.

Il team di CyberArk ha trovato il suo biglietto d’oro: una vulnerabilità XSS nel pannello di amministrazione web del malware, lo stesso strumento che i cybercriminali usano per gestire le loro campagne. Sfruttando questa falla, i ricercatori potevano insinuarsi nelle sessioni attive, rubare i cookie di sessione e persino osservare l’hardware e le impronte digitali del browser degli hacker stessi. In sostanza, i ruoli si sono invertiti - gli hacker che pensavano di avere il controllo sono diventati inconsapevoli oggetti di sorveglianza.

L’indagine si è concentrata su un cliente di StealC noto come ‘YouTubeTA’, che conduceva campagne dirottando canali YouTube legittimi e piazzando link malevoli nei risultati di ricerca per software Adobe piratato. La portata era impressionante: oltre 5.000 log di vittime, centinaia di migliaia di password rubate e milioni di cookie del browser. Ma gli errori tecnici si sono rivelati costosi. Quando l’operatore ha dimenticato di usare una VPN, il suo vero indirizzo IP - e quindi la sua posizione in Ucraina - è stato esposto ai ricercatori.

La decisione di CyberArk di divulgare pubblicamente la falla XSS è stata strategica. Con un’impennata nell’adozione di StealC dopo le vicende che hanno coinvolto malware rivali, l’obiettivo era interrompere la reputazione del malware e seminare sfiducia tra la sua base di utenti. Man mano che crescono le piattaforme malware-as-a-service come StealC, cresce anche il rischio: non solo per le vittime, ma anche per i criminali stessi.

La saga di StealC ricorda che nel sottobosco digitale nessuno è davvero al sicuro - nemmeno gli hacker. Le falle nell’infrastruttura criminale possono trasformare i predatori in prede, e la corsa agli armamenti tra attaccanti e difensori continua senza sosta. Per ora, il messaggio è chiaro: fidati dei tuoi strumenti a tuo rischio e pericolo, perché qualcuno potrebbe starti osservando dall’altra parte.

WIKICROOK

• Info: Un info stealer è un malware che raccoglie di nascosto dati sensibili come password e dettagli finanziari dai dispositivi infetti e li invia ai cybercriminali.
• XSS (Cross: XSS (Cross-Site Scripting) è una falla di sicurezza web in cui gli attaccanti iniettano script dannosi in siti considerati affidabili, mettendo a rischio dati e privacy degli utenti.
• Session cookie: Un cookie di sessione è un file temporaneo nel browser che ti mantiene connesso a un sito web; se viene rubato, può consentire ad altri di accedere al tuo account.
• Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
• Builder panel: Un builder panel è uno strumento che aiuta gli attaccanti a generare varianti di malware personalizzate selezionando funzionalità e parametri tramite un’interfaccia semplice.