كشف باحثون في الأمن السيبراني عن ثغرة من نوع Cross-Site Scripting (XSS) في لوحة التحكم الخاصة ببرمجية StealC، وهي أداة لسرقة المعلومات تعمل وفق نموذج “البرمجية كخدمة” (MaaS). هذه الثغرة سمحت للباحثين بالتجسس على نشاطات أحد المهاجمين، وجمع بصمات أنظمة التشغيل، ومراقبة الجلسات النشطة، بل وسرقة ملفات تعريف الارتباط (Cookies) من البنية التحتية المصممة أساساً لسرقتها.
الباحث “آري نوفيك” من شركة CyberArk أوضح أن المفارقة تكمن في أن مجموعة متخصصة في سرقة الكوكيز فشلت في حماية جلساتها الخاصة من هجوم كلاسيكي.
خلفية عن ظهور StealC وانتشاره عبر يوتيوب
ظهرت برمجية StealC لأول مرة في يناير 2023، وجرى تسويقها عبر قنوات يوتيوب ضمن ما يُعرف بـ”شبكة الأشباح” حيث يتم إخفاء البرمجية في ملفات وهمية تُقدَّم على أنها نسخ مكسورة لبرامج شهيرة مثل فوتوشوب وأفتر إفكتس.
لاحقاً، توسعت طرق انتشارها لتشمل ملفات مزيفة من مؤسسة Blender، إضافة إلى أسلوب اجتماعي يُعرف باسم FileFix. ومع مرور الوقت، طوّر مطورو StealC نسخة جديدة أطلقوا عليها StealC V2، تضمنت تكاملاً مع بوتات تيليغرام لإرسال التنبيهات، وتحسينات في آلية نشر الحمولة الخبيثة، ولوحة تحكم أعيد تصميمها بالكامل.
تسريبات تكشف هوية المهاجمين وأخطاؤهم الأمنية
بعد أسابيع من إطلاق النسخة الثانية، تسربت الشيفرة المصدرية للوحة الإدارة، ما أتاح للباحثين فرصة نادرة للتعرف على خصائص أجهزة المهاجمين، بما في ذلك تفاصيل عن العتاد ومؤشرات الموقع الجغرافي، إضافة إلى القدرة على استخراج الكوكيز من جلساتهم الخاصة.
أحد أبرز العملاء الذين استغلوا StealC يُعرف باسم YouTubeTA، وهو مهاجم اعتمد على منصة يوتيوب لنشر نسخ مزيفة من برامج أدوبي، وتمكن من جمع أكثر من 390 ألف كلمة مرور و30 مليون كوكيز، معظمها ملفات تتبع غير حساسة، لكن بعضها مكّنه من السيطرة على حسابات يوتيوب شرعية واستخدامها في الترويج للبرمجيات المكسورة.
التحقيقات أظهرت أن لوحة التحكم الخاصة بـ YouTubeTA تضم مستخدماً إدارياً واحداً فقط، يعمل على جهاز بمعالج Apple M3 مع إعدادات لغوية بالإنجليزية والروسية. وفي يوليو 2025، ارتكب المهاجم خطأً فادحاً حين نسي استخدام شبكة VPN أثناء دخوله إلى اللوحة، ما كشف عنوانه الحقيقي المرتبط بمزود إنترنت أوكراني، وهو ما رجّح أنه يعمل منفرداً من إحدى دول أوروبا الشرقية.
دلالات على ضعف منظومة البرمجيات كخدمة
تكشف هذه الحادثة عن مفارقة لافتة في عالم Malware-as-a-Service؛ فبينما يمنح هذا النموذج المهاجمين قدرة على الانتشار السريع، فإنه يعرّضهم أيضاً لنفس المخاطر الأمنية التي تواجه المؤسسات الشرعية. ضعف حماية الكوكيز وسوء جودة الشيفرة البرمجية في لوحة StealC منح الباحثين فرصة ذهبية لجمع بيانات حساسة عن العملاء والمهاجمين، وهو ما قد يشكل أداة مهمة بيد جهات إنفاذ القانون في المستقبل لكشف هوية مشغلي البرمجيات الخبيثة.
