Infraestrutura de malware Amadey e StealC é desarticulada com recuperação de 27 milhões de credenciais

Operação internacional de repressão ao crime cibernético remove servidores de comando e controle e restringe ativos de criptomoedas ligados a ecossistemas de malware-as-a-service.

ComponenteInfraestrutura de comando e controle, botnets e agentes maliciosos associados aos malwares Amadey e StealC
VetorApreensão de domínios e desligamento de servidores coordenado por autoridades policiais internacionais e empresas de segurança privada
ImpactoDesarticulação de 326 servidores, remoção de 142 domínios e recuperação de mais de 27 milhões de credenciais roubadas e ativos financeiros criminais
PrioridadeRevisão de telemetria de endpoint e rede para identificar infecções residuais, além de rotação imediata de credenciais potencialmente expostas
Resumo técnico

Uma operação internacional coordenada, batizada de Operation Endgame, desarticulou com sucesso a base estrutural usada por cibercriminosos para distribuir o malware Amadey e o ladrão de informações StealC. A ação ocorreu entre 15 e 19 de junho de 2026 e envolveu autoridades judiciais e agências de aplicação da lei da Bélgica, Canadá, Dinamarca, França, Alemanha, Holanda, Reino Unido e Estados Unidos, com forte apoio do setor privado, incluindo Bitdefender, Bitsight, ESET e Microsoft.

O objetivo central da operação foi quebrar as linhas de montagem usadas para lançar ataques de ransomware e fraudes financeiras, visando especificamente a fase inicial de acesso. Durante as duas semanas de atividade repressiva, as autoridades conseguiram bloquear ativos em criptomoedas de origem criminosa avaliados em mais de 47 milhões de dólares. A Microsoft revelou que identificou mais de 140 mil computadores infectados globalmente na primeira quinzena de maio de 2026, conseguindo recuperar o controle administrativo de cerca de 18 mil dispositivos vítimas.

Como resultado do esforço tático, 326 servidores foram desligados e 142 domínios maliciosos foram apreendidos, cesando as comunicações dos botnets. Além da desconexão da infraestrutura técnica, os investigadores recuperaram cerca de 27 milhões de credenciais de login roubadas, mitigando um vasto volume de acessos não autorizados pendentes. Este evento marca um impacto severo na confiança e na viabilidade comercial do modelo de malware-as-a-service (MaaS) utilizado por estes operadores.

Fluxo técnico

O Amadey opera como um carregador (loader) modular escrito em C++, ativo desde outubro de 2018 e desenvolvido por um ator de ameaça identificado como InCrease. O serviço é comercializado por 600 dólares por licença, acrescidos de 50 dólares a cada nova recompilação necessária, geralmente para rotacionar servidores de comando e controle. Em sua versão mais recente, 5.87, o Amadey é disseminado através de sites WordPress comprometidos, técnicas semelhantes ao framework SocGholish e campanhas de phishing direcionadas. Outros vetores de infecção inicial comuns incluem a utilização de carregadores como Emmenhtal e SmokeLoader.

Um aspecto crucial na lógica de execução do Amadey é a geolocalização. O malware contém rotinas programadas para verificar o idioma padrão do sistema operacional. Caso identifique a máquina como estando localizada na Rússia, Ucrânia ou Bielorrússia, o malware omite funcionalidades avançadas de evasão, como o roubo de credenciais no clipboard e o sequestro de dados locais.

O StealC, por sua vez, emergiu em janeiro de 2023 como um infostealer robusto escrito em C++. Operando sob o pseudônimo plymouth, o desenvolvedor cobrava 300 dólares mensais ou 1.000 dólares por seis meses, com um diferencial comercial: geração ilimitada de compilações. A versão mais recente do Win32/StealC rastreada é a 2.2.1. O malware possui capacidades duais, atuando não apenas como ladrão de informações de navegadores Chromium, mas também em aplicações de desktop que incluem Discord, FileZilla, Foxmail, Microsoft Outlook, Steam e Telegram.

Além do roubo de dados estruturado, o StealC funciona como um carregador secundário, possuindo rotinas para baixar e executar cargas EXE, MSI ou scripts em PowerShell baseados em requisições vindas de servidores C2. Assim como o Amadey, implementa geofences configurados para interromper sua própria execução caso o sistema operacional corresponda a Rússia, Ucrânia, Bielorrússia, Cazaquistão ou Uzbequistão.

A privacidade e a segurança da própria infraestrutura criminosa também demonstraram falhas. A CyberArk divulgou uma vulnerabilidade de cross-site scripting (XSS) no painel web do StealC que permitiu extrair dados sobre outros clientes do MaaS, como o afiliado YouTubeTA, que distribuía o malware disfarçado em versões pirateadas de Adobe Photoshop e After Effects. Além disso, pesquisadores da IBM X-Force e Proofpoint encontraram uma falha de directory traversal no painel C2 do StealC que possibilitava o upload de uma web shell. Essa brecha só foi corrigida em fevereiro de 2026, mas foi abusada por afiliados para roubar dados de outros operadores do ecossistema.

Superfície afetada

A superfície de infecção do ecossistema desarticulado afeta primariamente usuários de sistemas Windows e servidores de aplicações web mal configurados ou desatualizados. A arquitetura do Amadey permitiu a formação de 53 clusters de botnets distintos, expondo a infraestrutura das vítimas a uma vasta cascata de infecções secundárias.

  • Aplicações e serviços visados diretamente pelo StealC para exfiltração de tokens e senhas: Discord, FileZilla, Foxmail, Microsoft Outlook, Steam e Telegram.
  • Navegadores baseados no motor Chromium comprometidos para roubo de cookies, senhas salvas e dados de autofill.
  • Sites construídos em WordPress, vitimados pelo framework SocGholish que atuou como ponte de infecção para o Amadey.
  • Máquinas expostas ao download de múltiplas cargas avançadas via clusters de botnets do Amadey, incluindo Lumma Stealer, Vidar Stealer, Rugmi, PureCrypter, Agent Tesla, Rhadmanthys Stealer, RedLine Stealer e AsyncRAT.
Hunting e telemetria

A operação profilática reduziu drasticamente o número de amostras ativas, mas analistas de SOC devem monitorar a persistência de infecções legadas. Dados históricos da Mitsui Bussan Secure Directions apontam que o volume de servidores C2 ativos do Amadey variou drasticamente. Em 2023, o_sinkhole detectou entre 5 e 30 servidores maliciosos diários. Até 2024, a contagem caiu gradualmente, mas o volume de payloads distribuídos atingiu quase 12.000 amostras em 2025.

  • Inspecionar logs de Proxy e DNS interno em busca de conexões de saída não autorizadas para domínios suspeitos não resolvidos (devido à apreensão da autoridade), que indiquem beaconing latente infectado.
  • Monitorar processos de linha de comando anômalos envolvendo execução de PowerShell gerada de fontes não habituais no endpoint, tratada como tentativa de carga secundária pelo StealC.
  • Rastrear forks maliciosos e processos filhos originários de aplicações legítimas como FileZilla, Steam ou navegadores Chromium.
  • Investigar tentativas de escrita e leitura de arquivos de disco e memória que combinem com assinaturas de leitura de carteiras cripto, visando Rhadmanthys e Lumma Stealer implantados pelo Amadey.
Mitigação

Apesar da infraestrutura ter sofrido um golpe massivo, operadores de TI e Segurança devem assumir premissa de comprometimento (assume breach) para máquinas previamente sinalizadas como comportamento anômalo. A rotação de credenciais corporativas deve ser executada rapidamente devido ao banco de 27 milhões de dados recuperados, cuja exposição na rede underground de forma truncada já pode ter causado danos.

  • Aplicar hardening em servidores web, focando na atualização de todas as instâncias de WordPress, plugins e temas para evitar infecções pelo vetor SocGholish.
  • Adotar soluções de EndPoint Detection and Response (EDR) ajustadas com assinaturas de detecção para os carregadores SmokeLoader, Emmenhtal e Amadey.
  • Forçar a reautenticação e rotação de senhas em serviços de comunicação rastreáveis, como contas do Microsoft Outlook, Telegram e Discord para usuários de alto risco.
  • Revogar tokens de sessão de navegadores web corporativos@base Chromium para invalidar cookies roubados pelo StealC.
  • Monitorar a telemetria de nuvem atrás de tentativas de execução remota de binários MSI ou EXE via conexões de rede não padronizadas originadas por contas comprometidas no Microsoft Active Directory.