文章总结： 网络安全研究人员发现StealC恶意软件控制面板存在XSS漏洞，成功劫持攻击者会话并收集情报。通过该漏洞，研究者获取了名为YouTubeTA的攻击者的系统指纹、真实IP地址及地理位置信息，揭露其利用劫持的YouTube频道传播恶意软件、窃取39万密码和3000万Cookie的行为。事件凸显了恶意软件即服务平台给威胁者带来的暴露风险。 综合评分： 90 文章分类： 恶意软件,威胁情报,漏洞分析,网络安全,实战经验

黑客反被黑客黑：研究人员劫持StealC控制面板，窃取攻击者情报

胡金鱼 胡金鱼

嘶吼专业版

2026年1月30日 14:01 北京

StealC 信息窃取恶意软件运营商所使用的基于 Web 的控制面板中存在一个 跨站脚本（XSS）漏洞，该漏洞允许研究人员观察活跃会话，并收集攻击者的硬件情报。

StealC 于 2023 年初在暗网网络犯罪频道上通过激进推广而兴起。凭借其规避检测和广泛的数据窃取能力，它迅速流行起来。

在随后的几年里，StealC 的开发者不断进行多项增强。去年 4 月发布 2.0 版本时，恶意软件作者引入了 Telegram 机器人支持以实现实时警报，并推出了一个新的构建器，可基于模板和自定义数据窃取规则生成 StealC 样本。

大约在同一时间，该恶意软件管理面板的源代码被泄露，这为研究人员提供了分析机会。

CyberArk的研究人员发现了一个 XSS 漏洞，利用该漏洞，他们能够收集 StealC 运营商的浏览器和硬件指纹，观察活跃会话，窃取面板的会话 Cookie，并远程劫持面板会话。

The StealC 构建面板

为了防止 StealC 运营商迅速查明并修复该漏洞，CyberArk 未披露有关该 XSS 漏洞的具体技术细节。重点介绍了一位名为 “YouTubeTA”的 StealC 客户案例。该客户可能利用泄露的凭证劫持了旧的、合法的 YouTube 频道，并植入了感染链接。

这名网络犯罪分子在整个 2025 年期间运行恶意软件活动，收集了超过5,000 条受害者日志，窃取了约39 万个密码和3000 万个Cookie（其中大部分是非敏感的）。

YouTubeTA的标记页面

来自威胁者面板的截图显示，大多数感染发生在受害者搜索Adobe Photoshop和Adobe After Effects的破解版本时。

通过利用 XSS 漏洞，研究人员能够确定该攻击者使用的是基于Apple M3的系统，语言设置为英语和俄语，使用东欧时区，并通过乌克兰访问互联网。

当威胁者忘记通过 VPN 连接 StealC 面板时，其位置就会暴露，泄露了他们的真实 IP 地址，该地址与乌克兰 ISP TRK Cable TV相关联。

CyberArk 指出，恶意软件即服务（MaaS）平台虽然能实现快速扩展，但也给威胁者带来了巨大的暴露风险。

参考及来源：https://www.bleepingcomputer.com/news/security/stealc-hackers-hacked-as-researchers-hijack-malware-control-panels/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《黑客反被黑客黑：研究人员劫持StealC控制面板，窃取攻击者情报》