Microsoft, a Europol e parceiros internacionais desarticularam a infraestrutura usada nas operações de malware Amadey e StealC como parte da Operation Endgame, que mira serviços do crime cibernético e grupos de ransomware.
Uma operação coordenada de autoridades policiais, em parceria com empresas do setor privado, entre elas Bitdefender, Bitsight, ESET e Microsoft, resultou na derrubada da infraestrutura criminosa que dava suporte ao Amadey e ao StealC.
A ação policial envolveu autoridades e parceiros privados de vários países, que ajudaram a identificar e derrubar, apreender, bloquear ou redirecionar para sinkhole a infraestrutura ligada às famílias de malware. Segundo a Europol, a operação, realizada entre 15 e 19 de junho de 2026, durou duas semanas e resultou na interrupção de 326 servidores e 142 domínios.
“O principal objetivo comum era interromper as ‘linhas de montagem’ que cibercriminosos usam para lançar ransomware, fraudes financeiras e ataques contra infraestrutura crítica”, afirmou a Europol em comunicado.
Como parte da ação, ativos em criptomoedas de origem criminosa avaliados em mais de US$ 47 milhões foram identificados, sinalizados e bloqueados para uso. Além disso, até 27 milhões de credenciais de acesso roubadas foram recuperadas, e a rede de distribuição de malware foi enfraquecida com a remoção de 326 servidores e 142 domínios.
“Ao derrubar essas ferramentas simultaneamente, a colaboração entre a polícia e o setor privado aumentou a dificuldade para os cibercriminosos, tornando mais difícil que os ataques tenham sucesso, se espalhem ou se recuperem”, afirmou a Europol.
“A derrubada é uma demonstração poderosa do que a colaboração entre setores público e privado pode alcançar ao desmontar a infraestrutura que viabiliza o cibercrime em escala”, disse Alex Cosoi, estrategista-chefe de segurança da Bitdefender. “Também envia uma mensagem clara a quem está por trás de ecossistemas de malware: não importa o quão sofisticadas sejam as ferramentas ou o quão distribuída seja a rede, uma ação internacional coordenada irá encontrá-los.”
A ação coordenada também mirou o SocGholish, também conhecido como FakeUpdates, um loader de malware que infecta visitantes por meio de sites comprometidos que exibem falsas solicitações de atualização do navegador. O avanço ocorre poucos dias depois de autoridades da Holanda, Canadá, Alemanha e Estados Unidos terem desarticulado a infraestrutura maliciosa associada ao SocGholish e removido quase 15.000 sites WordPress infectados.
A Operação Endgame reuniu agências de segurança pública da Bélgica, Canadá, Dinamarca, França, Alemanha, Países Baixos, Reino Unido e Estados Unidos, com coordenação da Europol e da Eurojust.
O apoio do setor privado veio de Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus, Bitdefender e outros.
De acordo com a Europol, a operação teve como foco desarticular a infraestrutura de cibercrime usada por threat actors para obter acesso inicial a sistemas, roubar credenciais e, por fim, implantar ransomware ou cometer fraude financeira.
Amadey e StealC são vendidos a cibercriminosos por meio de operações de malware-as-a-service (MaaS), nas quais afiliados pagam para ter acesso a construtores de malware, painéis de gerenciamento, suporte e infraestrutura. As três famílias de malware são conhecidas por serem ofertadas nesse modelo, permitindo que clientes entreguem payloads adicionais ou roubem informações sensíveis de máquinas comprometidas.
Os criminosos usam o Amadey para obter um ponto de entrada inicial nos dispositivos das vítimas e instalar outros malwares. SocGholish e Amadey atuam como loaders para introduzir malware de segunda etapa, sendo disseminados principalmente por meio de sites WordPress comprometidos e campanhas de phishing, respectivamente. O Amadey também foi propagado por outros loaders, como Emmenhtal e SmokeLoader.
Já o StealC é usado para roubar credenciais, carteiras de criptomoedas e outras informações sensíveis que depois podem ser vendidas ou exploradas em ataques de ransomware. O StealC, por sua vez, explorou diferentes vetores de acesso inicial, incluindo loaders de malware, como o Amadey, e iscas baseadas em ClickFix.
Em uma ação civil apresentada pela Microsoft nos Estados Unidos, a Digital Crimes Unit da empresa informou ter identificado mais de 200 domínios e endereços IP maliciosos de command and control associados ao Amadey e ao StealC, e trabalhou com parceiros para desativar a infraestrutura por meio de ordens judiciais, apreensão de domínios, registros e notificações a provedores. A empresa afirmou que as duas famílias de malware estavam ligadas a mais de 140.000 dispositivos infectados somente nas duas primeiras semanas de maio de 2026, e informou ter identificado mais de 18.000 máquinas de vítimas e interrompido o controle criminoso sobre esses dispositivos.
Segundo a denúncia da Microsoft, credenciais roubadas obtidas pelo StealC costumam ser vendidas em mercados clandestinos e por meio de initial-access brokers, ou IABs. Essas credenciais são então usadas por outros threat actors para invadir redes, roubar dados e implantar ransomware.
Outros parceiros privados divulgaram relatórios sobre sua participação na desarticulação. A ESET disse ter apoiado a operação ao identificar e interromper a infraestrutura usada pelas duas famílias de malware. A empresa informou que a ação afetou cerca de 50 domínios usados pelas operações e quase 200 servidores ativos de command and control. Proofpoint e IBM X-Force também contribuíram com inteligência e análise de malware para sustentar a desarticulação.
A Bitsight afirmou ter ajudado a operação ao identificar e analisar a infraestrutura associada às duas famílias de malware, auxiliando os investigadores a mapear servidores e a infraestrutura relacionada de command and control usada pelos threat actors. “Loaders e stealers são as duas metades da cadeia de commodity malware”, afirmou a Bitsight. “Um loader obtém o primeiro ponto de apoio e o aluga; um stealer aproveita esse ponto de apoio para coletar credenciais, cookies e carteiras digitais, que depois são vendidos em fóruns clandestinos, inclusive no Telegram.”
Trata-se de um backdoor modular em C++, em atividade desde outubro de 2018 e anunciado por um threat actor conhecido como InCrease. O serviço custa US$ 600 por uma licença única, com cobrança adicional de US$ 50 por cada nova compilação. A versão mais recente do Amadey é a 5.87.
Entre os comandos compatíveis estão: identificar a máquina, baixar arquivos, DLLs, MSI ou scripts em PowerShell, executar comandos usando cmd.exe, capturar telas, iniciar um proxy SOCKS, abrir uma sessão de VNC ou proxy reverso, capturar o conteúdo da área de transferência e credenciais e habilitar RDP.
Segundo dados divulgados pela Mitsui Bussan Secure Directions, o número diário de servidores ativos de command and control (C2 ou C&C) do Amadey variou, em média, entre dois e 18 até cerca de setembro de 2022. “De janeiro de 2023 ao início de dezembro de 2023, porém, esse número subiu para entre 5 e 30, sugerindo que o Amadey passou a ser amplamente utilizado”, afirmou a empresa japonesa de cibersegurança. “Em 2024, após um breve período de inatividade, a contagem diária caiu gradualmente a partir de um pico de 17 e continuou recuando até o presente.”
O número de amostras de malware distribuídas pelo Amadey teria chegado ao pico de 11.635 em 2025, ante 66 em 2019, 260 em 2020, 1.231 em 2021, 3.500 em 2022, 8.360 em 2023 e 7.619 em 2024. Desde o início deste ano, 1.837 payloads foram distribuídos por meio do loader. Ao todo, 53 clusters exclusivos foram identificados dentro do ecossistema do Amadey, com o maior cluster de botnet distribuindo payloads como Lumma Stealer, Vidar Stealer, StealC, Rugmi, PureCrypter, Agent Tesla, Rhadmanthys Stealer, RedLine Stealer, SmokeLoader, XWorm e AsyncRAT.
Distribuição de malware pelo Amadey em 2025 e 2026 e pelo StealC em 2026
O StealC apareceu pela primeira vez em janeiro de 2023 e era vendido por US$ 300 por mês, ou US$ 1.000 por seis meses, por um threat actor que usava o nome “plymouth”. Assim como o Amadey, o StealC vem sendo mantido ativamente por seus operadores. Em junho de 2026, a versão mais recente do stealer era a 2.2.1.
A ferramenta é voltada à extração de informações sensíveis, como capturas de tela, credenciais, cookies de sessão, entradas de preenchimento automático, dados de cartão de crédito, histórico de navegação e dados de extensões. Além de mirar navegadores Chromium, o malware coleta dados de aplicativos desktop como Discord, FileZilla, Foxmail, Microsoft Outlook, Steam e Telegram, bem como de arquivos que correspondem a determinados padrões de nomeação. Ele também atua como um loader secundário, capaz de baixar e executar payloads EXE, MSI ou PowerShell com base em comandos enviados por um servidor externo.
Escrito em C++, um aspecto marcante do stealer é a capacidade de consultar o idioma padrão do sistema e se encerrar caso a localidade corresponda a países como Rússia, Ucrânia, Bielorrússia, Cazaquistão ou Uzbequistão. O Amadey também conta com uma checagem semelhante, para ignorar certas funcionalidades, como roubo de credenciais e captura da área de transferência, quando executado em hosts da Rússia, Ucrânia ou Bielorrússia.
As maiores concentrações de infecção foram registradas nos Estados Unidos, na Polônia e na Itália.
No início de janeiro, a CyberArk revelou uma vulnerabilidade de cross-site scripting (XSS) no painel de controle baseado na web usado pelos operadores do StealC, o que permitiu obter informações sobre a operação MaaS, incluindo um de seus clientes, chamado YouTubeTA, que usou a plataforma de compartilhamento de vídeos do Google para distribuir o stealer ao anunciar versões pirateadas do Adobe Photoshop e do Adobe After Effects.
IBM X-Force e Proofpoint também apontaram várias falhas de segurança no painel de C2, entre elas um bug de directory traversal que permitia enviar um web shell para o servidor C2 do StealC. O problema foi corrigido pelos desenvolvedores do StealC em fevereiro de 2026, mas não antes de provavelmente ter sido explorado por um afiliado para roubar dados de outros afiliados.
“Em ambos os ecossistemas, os afiliados recebem um painel de administração hospedado por eles mesmos, que precisa ser implantado na própria infraestrutura de servidores”, disseram os pesquisadores da ESET Jakub Tomanek e Tomáš Procházka. “O Amadey usava um modelo de pagamento por recompilação. Os afiliados compravam uma licença e depois pagavam uma taxa adicional sempre que precisavam gerar uma nova compilação, por exemplo, ao migrar para um novo servidor C&C.”
A desarticulação é a fase mais recente da Operação Endgame, que já havia derrubado outras famílias de malware, como DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium e SmokeLoader. “A Operation Endgame tem como alvo o malware de acesso inicial usado para infectar dispositivos”, afirmou a Eurojust. “Cibercriminosos usam esse malware como porta de entrada para infiltrar silenciosamente os sistemas das vítimas e roubar dados sensíveis. Ao combater a fase inicial da cadeia de ataque, a operação atinge o coração de todo o ecossistema de ‘cybercrime-as-a-service’.”
Ainda assim, a menos que haja prisões, os threat actors costumam reconstruir a infraestrutura e lançar novos ataques.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...