החוקרים שגנבו עוגיות מגנבי עוגיות

חוקרי מעבדות סייברארק איתרו פרצה בתשתית של מפעילי נוזקת StealC, וכך גנבו עוגיות מהגנבים עצמם.

StealC היא נוזקת גניבת מידע (Infostealer) המוכרת לקהילת האבטחה מ-2023. הנוזקה נמכרת במודל "נוזקה כשירות", ומתמחה בגניבת סיסמאות, קובצי עוגיות ונתונים רגישים ממחשבי קורבנות.

באביב 2025, הקבוצה שפיתחה את הנוזקה שחררה גרסה חדשה שלה, StealC_v2. אלא שמיד לאחר מכן, הקוד שלה דלף. חוקרי סייברארק ניתחו את הקוד וזיהו פגיעות שאפשרה להם לצפות ולתקשר עם מפעילי StealC עצמם. "מצאנו חולשת XSS בממשק הניהול של מפעילי הנוזקה, שאפשרה לנו לצפות בפעילות התוקפים, לאסוף 'טביעות אצבע' של מערכותיהם ואפילו להשתלט על תרחישי פעולה ותקיפה ולהבין איך התוקפים עובדים", כתב ארי נוביק, חוקר נוזקות במעבדות סייברארק, "בטוויסט שלא יפתיע אף אחד, הצלחנו לגנוב עוגיות מהתשתית שנועדה לגנוב אותן. בהינתן שהעסק המרכזי של קבוצת StealC עוסק בגניבת עוגיות, אפשר לצפות שהמפתחים שלה יהיו מומחים לעוגיות ויישמו תכונות אבטחה בסיסיות של עוגיות, כדי למנוע מחוקרים לגנוב עוגיות דרך XSS. האירוניה היא, שמבצע שנבנה סביב גניבת עוגיות בקנה מידה גדול – לא הצליח להגן על העוגיות שלה מפני מתקפה טיפוסית".

החוקרים עקבו אחר תוקף שכונה YouTubeTA (קיצור של YouTube Threat Actor). הוא פעל בעיקר דרך יו-טיוב להפצת גרסאות מזויפות של תוכנות כמו פוטושופ ו-After Effects. הוא השתלט על ערוצי יו-טיוב ותיקים ושימושיים, שדרכם הפיץ דגימות של StealC לקורבנות. כך הוא גנב 390 אלפי סיסמאות ויותר מ-30 מיליוני עוגיות. בעזרת הצלבות נתונים ומדדים שונים, החוקרים הצליחו לזהות כי התוקף הוא אוקראיני.

"הצלחנו לאתר חולשות בתשתית הפשיעה", כתב נוביק, "שילוב של נתוני חומרה, שפות נתמכות, אזור זמן וטעויות בשימוש ב-VPN – כל אלה סייעו לנו לצמצם מאוד את אזור פעילותו ולהבין שמדובר במפעיל יחיד ולא בקבוצה".

"למרות שפעל לבדו, הוא היה מוצלח בצורה מסוכנת. ההצלחה שלו מדגישה את החשיבות של אבטחת זהות, כי זה מאוד פשוט לגרום לנזק עצום. יש 'מחיר' לפושעי סייבר המשתמשים במודלים של נוזקה כשירות", סיכם נוביק, "כשהם נסמכים על אחרים לפיתוח התשתיות שלהם, שחקני האיום הופכים לפגיעים לאותם סיכוני שרשרת האספקה שענפים רגילים מתמודדים איתם. מפתחי StealC הפגינו חולשות הן באבטחת העוגיות והן באיכות קוד הפאנלים, מה שאפשר לנו לאסוף כמות גדולה של נתונים על הלקוחות שלהם. אם זה נכון לגבי שחקני איום אחרים שמוכרים נוזקות, חוקרים וגופי אכיפת חוק יכולים לנצל פגמים דומים כדי לקבל תובנות לגבי מפעילי נוזקות ואולי אפילו לחשוף את זהותם".