Uma operação policial coordenada, em parceria com empresas do setor privado, incluindo Bitdefender, Bitsight, ESET e Microsoft, resultou no desmantelamento da infraestrutura criminosa que sustentava os malwares Amadey e StealC.
"O principal objetivo em comum era interromper as 'linhas de montagem' que os cibercriminosos usam para disparar ataques de ransomware (sequestro de dados), fraudes financeiras e investidas contra infraestruturas críticas", afirmou a Europol em comunicado.
A ação ocorre dias depois de autoridades dos Países Baixos, Canadá, Alemanha e Estados Unidos terem desarticulado a infraestrutura maliciosa associada ao SocGholish e desinfectado cerca de 15 mil sites WordPress comprometidos.
Como parte da ação, que durou duas semanas, ativos em criptomoedas de origem criminosa avaliados em mais de 47 milhões de dólares foram identificados, sinalizados e tiveram seu uso restringido. Além disso, foram recuperadas até 27 milhões de credenciais de login roubadas, e a rede de distribuição de malware foi comprometida com o desmantelamento de 326 servidores e 142 domínios.
"Esta desarticulação é uma demonstração poderosa do que a colaboração entre os setores público e privado pode alcançar na destruição da infraestrutura que viabiliza o cibercrime em larga escala", afirmou Alex Cosoi, chief security strategist da Bitdefender, em comunicado. "Também envia uma mensagem clara para quem está por trás dos ecossistemas de malware: não importa o quão sofisticadas sejam as ferramentas ou o quão distribuída esteja a rede, ações internacionais coordenadas vão encontrá-los."
Características do Amadey
As três famílias de malware são conhecidas por serem oferecidas no modelo de malware como serviço (MaaS, na sigla em inglês), permitindo que clientes entreguem cargas adicionais de código malicioso ou roubem informações sensíveis dos hosts comprometidos.
SocGholish e Amadey funcionam como loaders (carregadores) para introduzir o malware em estágio posterior, sendo disseminados principalmente por sites WordPress comprometidos e campanhas de phishing, respectivamente. O Amadey também já foi propagado por outros loaders como Emmenhtal e SmokeLoader.
Um backdoor modular baseado em C++, o Amadey é conhecido por estar ativo desde outubro de 2018 e é anunciado por um agente de ameaça conhecido como InCrease. O serviço é vendido a 600 dólares por licença, com uma taxa extra de 50 dólares cobrada a cada reconstrução. A versão mais recente do Amadey é a 5.87. Alguns dos comandos suportados estão listados abaixo:
- Coletar impressões digitais da máquina
- Baixar arquivos, DLLs, MSI ou scripts PowerShell
- Executar comandos usando o "cmd.exe"
- Capturar telas
- Iniciar um proxy SOCKS
- Abrir uma sessão VNC ou de proxy reverso
- Capturar conteúdo da área de transferência e credenciais
- Habilitar RDP (Protocolo de Área de Trabalho Remota)
De acordo com dados publicados pela Mitsui Bussan Secure Directions, o número diário de servidores de comando e controle (C2 ou C&C) ativos do Amadey ficou entre dois e 18 aproximadamente até setembro de 2022.
"De janeiro de 2023 ao início de dezembro de 2023, no entanto, esse número subiu para entre 5 e 30, sugerindo que o Amadey havia se tornado amplamente utilizado", afirmou a empresa japonesa de cibersegurança. "Em 2024, após um breve período de inatividade, a contagem diária diminuiu gradualmente a partir de um pico de 17 e continuou caindo até os dias atuais."
O número de amostras de malware distribuídas via Amadey teria atingido o pico de 11.635 em 2025, ante 66 em 2019, 260 em 2020, 1.231 em 2021, 3.500 em 2022, 8.360 em 2023 e 7.619 em 2024. Desde o início do ano, 1.837 cargas maliciosas foram distribuídas por meio do loader.
O StealC
O StealC, por sua vez, tem se valido de diversos vetores de acesso inicial, desde loaders (incluindo o Amadey) e iscas do tipo ClickFix, e está equipado para extrair informações sensíveis, como capturas de tela, credenciais, cookies de sessão, preenchimentos automáticos, dados de cartão de crédito, histórico de navegação e dados de extensões.
O malware surgiu pela primeira vez em ambiente silvestre em janeiro de 2023 e era vendido por 300 dólares por mês (ou mil dólares por seis meses) por um agente de ameaça com o apelido "plymouth". Assim como o Amadey, o StealC tem sido ativamente mantido por seus operadores. Até junho de 2026, a versão mais recente do stealer é a 2.2.1. As maiores concentrações de infecções foram registradas nos Estados Unidos, Polônia e Itália.
Além de mirar navegadores baseados em Chromium, o malware coleta dados de aplicativos de desktop como Discord, FileZilla, Foxmail, Microsoft Outlook, Steam e Telegram, bem como arquivos que correspondam a determinados padrões de nome. Ele também atua como um loader secundário, capaz de baixar e executar cargas em EXE, MSI ou PowerShell a partir de comandos de um servidor externo.
Escrito em C++, um aspecto notável do stealer é sua capacidade de consultar o idioma padrão do sistema e se autodestruir caso a localização coincida com países como Rússia, Ucrânia, Bielorrússia, Cazaquistão ou Uzbequistão. O Amadey também conta com verificação semelhante para pular certas funcionalidades, como roubo de credenciais e da área de transferência, quando executado em hosts russos, ucranianos ou bielorrussos.
No início de janeiro, a CyberArk divulgou uma vulnerabilidade de cross-site scripting (XSS) - script entre sites - no painel de controle baseado na web dos operadores do StealC que permitiu obter informações sobre a operação de MaaS, incluindo um de seus clientes chamado YouTubeTA, que se valeu da plataforma de compartilhamento de vídeo do Google para distribuir o stealer anunciando versões crackeadas do Adobe Photoshop e do Adobe After Effects.
A IBM X-Force e a Proofpoint também observaram que múltiplas falhas de segurança foram identificadas no painel de C2, uma das quais era uma vulnerabilidade de directory traversal (travessia de diretórios) que possibilitou o upload de um web shell (script de acesso remoto) para o servidor de C2 do StealC. O problema foi corrigido pelos desenvolvedores do StealC em fevereiro de 2026, mas não antes de provavelmente ter sido explorado por um afiliado para roubar dados de outros afiliados.
"Em ambos os ecossistemas, os afiliados recebem um painel de administração auto-hospedado que precisa ser implantado na própria infraestrutura de servidores deles", disseram os pesquisadores da ESET Jakub Tomanek e Tomas Prochazka. "O Amadey utilizava um modelo de pagamento por reconstrução. Os afiliados compravam uma licença e depois pagavam uma taxa adicional cada vez que precisavam gerar uma nova versão, por exemplo, ao rotacionar para um novo servidor de C&C."
"O StealC adotou uma abordagem mais favorável aos afiliados, oferecendo geração ilimitada de builds como parte da assinatura. Isso reduziu o custo operacional de rotacionar a infraestrutura de C&C e facilitou a criação de novas amostras conforme necessário pelos afiliados."
Escala global da operação
Ao todo, 53 clusters únicos foram identificados dentro do ecossistema do Amadey, com o maior cluster de botnet distribuindo cargas como Lumma Stealer, Vidar Stealer, StealC, Rugmi, PureCrypter, Agent Tesla, Rhadmanthys Stealer, RedLine Stealer, SmokeLoader, XWorm e AsyncRAT.
A Microsoft revelou que não apenas o Amadey e o StealC compartilham a mesma infraestrutura, mas as famílias de malware foram vinculadas a mais de 140 mil computadores infectados globalmente nas duas primeiras semanas de maio de 2026. A gigante da tecnologia disse ter identificado mais de 18 mil computadores de vítimas e rompido o controle criminoso sobre esses dispositivos.
No total, a empresa afirmou ter sinalizado 200 domínios e endereços IP maliciosos de C2 do Amadey e do StealC, todos já desativados por meio de uma combinação de ordens judiciais, apreensões de domínios, registros e notificações a provedores.
"Loaders e stealers são as duas metades do pipeline de malware commoditizado", afirmou a Bitsight. "Um loader consegue o primeiro ponto de apoio e o aluga; um stealer aproveita esse ponto de apoio para coletar credenciais, cookies e carteiras digitais, que depois são vendidos em fóruns clandestinos (incluindo o Telegram)."
Sobre a Operação Endgame
A ação mais recente, ocorrida entre 15 e 19 de junho de 2026, marca o capítulo mais recente da Operação Endgame. Contou com a participação de autoridades judiciais e policiais da Bélgica, Canadá, Dinamarca, França, Alemanha, Países Baixos, Reino Unido e Estados Unidos.
"A Operação Endgame mira o malware de acesso inicial usado para infectar dispositivos", afirmou a Eurojust. "Cibercriminosos usam esse malware como porta de entrada para se infiltrar silenciosamente nos sistemas das vítimas e roubar dados sensíveis. Ao combater o estágio inicial da cadeia de ataque, a operação atinge o coração de todo o ecossistema de 'cibercrime como serviço'."
