Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Amadey i StealC to dwa istotne elementy współczesnego ekosystemu cyberprzestępczego działającego w modelu malware-as-a-service. Amadey pełni przede wszystkim rolę loadera, czyli narzędzia służącego do uzyskania początkowego dostępu i dostarczania kolejnych ładunków malware, natomiast StealC jest infostealerem zaprojektowanym do kradzieży poświadczeń, ciasteczek sesyjnych, danych kart płatniczych oraz informacji przechowywanych w aplikacjach użytkownika.
W czerwcu 2026 roku międzynarodowa operacja organów ścigania i partnerów prywatnych doprowadziła do zakłócenia infrastruktury obu rodzin malware. Skala działań pokazuje, że loadery i stealery pozostają jednym z kluczowych fundamentów dalszych kampanii ransomware, oszustw finansowych oraz przejęć kont.
W skrócie
- Odzyskano około 27 mln skradzionych danych logowania.
- Ograniczono wykorzystanie aktywów kryptowalutowych pochodzenia przestępczego o wartości przekraczającej 47 mln USD.
- Zdemontowano 326 serwerów i 142 domeny powiązane z infrastrukturą przestępczą.
- Oba ekosystemy były związane z ponad 140 tys. zainfekowanych komputerów na świecie w pierwszych dwóch tygodniach maja 2026 roku.
Kontekst / historia
Amadey jest aktywny od 2018 roku i od początku funkcjonował jako modułowy backdoor oraz loader oferowany komercyjnie innym cyberprzestępcom. Model ten opierał się na sprzedaży licencji podstawowej oraz dodatkowych opłatach za generowanie nowych kompilacji malware, co ułatwiało zmianę infrastruktury i utrudniało detekcję.
StealC pojawił się później, na początku 2023 roku, jako wyspecjalizowany infostealer nastawiony na wykradanie danych z przeglądarek i aplikacji desktopowych. Dzięki modelowi subskrypcyjnemu był łatwo dostępny dla afiliantów, co obniżało próg wejścia i sprzyjało szybkiemu rozprzestrzenianiu kampanii.
W praktyce oba narzędzia dobrze się uzupełniały. Amadey zapewniał infekcję i utrzymanie dostępu, a StealC monetyzował kompromitację przez eksfiltrację poświadczeń, tokenów sesyjnych i innych artefaktów, które mogły zostać wykorzystane w kolejnych etapach ataku.
Analiza techniczna
Amadey to napisany w C++ modułowy backdoor, który poza dostarczaniem kolejnych payloadów potrafi wykonywać polecenia systemowe, pobierać pliki i skrypty, przechwytywać zrzuty ekranu, uruchamiać proxy SOCKS, zestawiać zdalne sesje oraz pozyskiwać dane ze schowka i poświadczenia. Z perspektywy obrony nie jest to więc jedynie prosty downloader, ale elastyczna platforma umożliwiająca dalszą eskalację działań po infekcji.
StealC również został napisany w C++ i działa jako infostealer o szerokim zakresie zbieranych danych. Obejmuje to poświadczenia zapisane w przeglądarkach opartych na Chromium, cookies, historię przeglądania, dane autouzupełniania, informacje o kartach płatniczych, dane rozszerzeń oraz artefakty z aplikacji takich jak Discord, FileZilla, Outlook, Steam czy Telegram.
Dodatkowo StealC może pełnić rolę loadera drugiego etapu, pobierając i uruchamiając kolejne pliki wykonywalne, pakiety MSI lub skrypty PowerShell na podstawie poleceń z serwera zdalnego sterowania. Taki model tworzy skuteczny łańcuch ataku: od początkowego dostępu, przez kradzież danych, aż po sprzedaż poświadczeń, przejęcia kont, ruch boczny i wdrożenie ransomware.
Na uwagę zasługują również cechy operacyjne obu rodzin malware. Amadey i StealC implementowały logikę sprawdzania ustawień regionalnych systemu i ograniczały część działań w wybranych lokalizacjach, co jest charakterystyczne dla wielu zagrożeń rozwijanych w określonych kręgach językowych. W przypadku StealC wcześniej wskazywano także na błędy bezpieczeństwa w panelu administracyjnym operatorów.
Konsekwencje / ryzyko
Skala odzyskanych danych logowania pokazuje, że loadery i stealery nie są zagrożeniami drugorzędnymi. Skradzione poświadczenia rzadko kończą swój cykl życia na pojedynczej infekcji. Najczęściej trafiają na podziemne rynki, do brokerów początkowego dostępu lub bezpośrednio do operatorów ransomware.
Ryzyko dla organizacji obejmuje kilka warstw. Kompromitacja jednego urządzenia użytkownika może prowadzić do przejęcia usług SaaS, skrzynek pocztowych, VPN, systemów administracyjnych oraz kont uprzywilejowanych. Kradzież cookies i tokenów sesyjnych może także umożliwiać obejście części zabezpieczeń wieloskładnikowych, jeśli sesja została już wcześniej uwierzytelniona.
Obecność loadera zwiększa ponadto prawdopodobieństwo dostarczenia kolejnych rodzin malware, w tym RAT-ów, crypterów i ransomware. Nawet jeśli organizacja nie zauważy od razu skutków operacyjnych, wtórny incydent może nastąpić po tygodniach lub miesiącach od pierwotnej infekcji.
Rekomendacje
Organizacje powinny traktować infekcje loaderami i infostealerami jako incydenty wysokiego ryzyka. Samo usunięcie próbki malware z urządzenia nie jest wystarczające, jeśli doszło do wycieku poświadczeń lub tokenów sesyjnych.
- Wymusić reset haseł dla użytkowników, których urządzenia mogły zostać zainfekowane.
- Unieważnić aktywne sesje, tokeny dostępu i cookies w kluczowych systemach.
- Przeprowadzić rotację poświadczeń uprzywilejowanych oraz sekretów aplikacyjnych.
- Przeanalizować telemetrię EDR, proxy, poczty i IAM pod kątem wtórnego użycia skradzionych danych.
- Zablokować znane wskaźniki kompromitacji związane z infrastrukturą C2.
- Monitorować nietypowe logowania z prawidłowymi poświadczeniami, szczególnie do usług chmurowych i administracyjnych.
- Ograniczyć uruchamianie skryptów PowerShell i binariów pobieranych z internetu.
- Wzmocnić segmentację sieci oraz ochronę przeglądarek i lokalnego przechowywania sekretów.
Z perspektywy prewencji szczególnie istotne pozostają odporność na phishing, kontrola fałszywych instalatorów, ograniczanie nadużyć reklam oraz monitorowanie zainfekowanych stron internetowych wykorzystywanych do dystrybucji malware.
Podsumowanie
Operacja wymierzona w Amadey i StealC pokazuje, że walka z cyberprzestępczością coraz częściej koncentruje się na infrastrukturze odpowiedzialnej za masowe infekcje i hurtową kradzież danych. Demontaż setek serwerów i domen oraz przejęcie milionów poświadczeń stanowi istotny cios dla modelu malware-as-a-service.
Jednocześnie incydent przypomina, że loadery i stealery pozostają jednym z najważniejszych punktów wejścia do dalszych, znacznie poważniejszych ataków. Dla zespołów bezpieczeństwa oznacza to konieczność szybkiego reagowania na każdy przypadek kradzieży danych uwierzytelniających i traktowania takich zdarzeń jako potencjalnego początku dużego naruszenia.