Europol uderza w StealC i Amadey. Operation Endgame wymierzona w zaplecze cyberprzestępców - Security Bez Tabu

Europol uderza w StealC i Amadey. Operation Endgame wymierzona w zaplecze cyberprzestępców

Cybersecurity news

Wprowadzenie do problemu / definicja

Operation Endgame to szeroko zakrojona, międzynarodowa operacja wymierzona w infrastrukturę cyberprzestępczą wspierającą ransomware, kradzież danych i oszustwa finansowe. W najnowszej fazie działań służby skupiły się na rodzinach malware StealC, Amadey oraz SocGholish, które odgrywają istotną rolę na wczesnych etapach ataku.

Z perspektywy obrony takie podejście ma szczególne znaczenie, ponieważ uderza nie w końcowy ładunek, lecz w mechanizmy początkowego dostępu, dystrybucji złośliwego oprogramowania i kradzieży poświadczeń. To właśnie te elementy często otwierają drogę do dalszej kompromitacji środowiska.

W skrócie

  • Europol i partnerzy przeprowadzili działania przeciwko infrastrukturze wykorzystywanej przez operatorów StealC i Amadey.
  • Operacja objęła przejęcia serwerów i domen oraz działania wobec zasobów kryptowalutowych powiązanych z przestępczością.
  • Podjęto działania wobec 326 serwerów i 142 domen.
  • Ograniczono użycie aktywów kryptowalutowych o wartości przekraczającej 41 mln euro.
  • Odzyskano 27 mln skradzionych danych logowania.
  • W pierwszych dwóch tygodniach maja 2026 roku StealC i Amadey były powiązane z ponad 140 tys. zainfekowanych urządzeń na świecie.

Kontekst / historia

Operation Endgame jest rozwijaną od 2024 roku inicjatywą ukierunkowaną na zakłócanie działania botnetów, loaderów, infostealerów i usług wspierających cyberprzestępczość. Jej strategicznym celem jest rozbijanie zaplecza technicznego, z którego korzystają kolejne grupy realizujące ataki ransomware lub masową kradzież danych.

W analizowanym etapie szczególną uwagę poświęcono trzem rodzinom zagrożeń. SocGholish jest znany jako malware dystrybuowany przez zainfekowane strony internetowe, najczęściej poprzez fałszywe komunikaty o aktualizacji przeglądarki. Amadey funkcjonuje od 2018 roku jako płatny dropper i loader wykorzystywany do uzyskiwania wstępnego dostępu oraz dostarczania kolejnych ładunków. StealC, obserwowany od 2023 roku, działa jako infostealer nastawiony na pozyskiwanie haseł, danych przeglądarek i innych wrażliwych artefaktów systemowych.

W praktyce narzędzia te wpisują się w model cybercrime-as-a-service. Jedni operatorzy odpowiadają za infekcję, inni za kradzież poświadczeń, a jeszcze inni monetyzują dostęp przez ransomware, sprzedaż danych lub przejęcia kont.

Analiza techniczna

Technicznie rzecz biorąc, operacja była wymierzona w początkowe ogniwa łańcucha ataku. To istotne, ponieważ zablokowanie loaderów i infostealerów może zatrzymać dalszy proces kompromitacji jeszcze przed wdrożeniem ransomware, ruchem bocznym lub eskalacją uprawnień.

Amadey działa jako komponent pierwszego dostępu. Zwykle rozprzestrzenia się przez phishing lub inne techniki socjotechniczne, a następnie pobiera i uruchamia kolejne moduły malware. Tego typu droppery są niebezpieczne, ponieważ nie służą jedynie do pojedynczej infekcji, lecz tworzą elastyczny kanał dostarczania dalszych narzędzi przestępczych.

StealC realizuje etap zbierania danych. Po uruchomieniu na stacji roboczej może pozyskiwać zapisane hasła, cookies sesyjne, dane formularzy, portfele kryptowalutowe, informacje systemowe i inne artefakty umożliwiające przejęcie tożsamości użytkownika lub dalszą eskalację. Takie dane są następnie sprzedawane, wykorzystywane do fraudów albo służą jako punkt wyjścia do kolejnych włamań.

SocGholish wykorzystuje natomiast skompromitowane witryny, w tym instalacje WordPress, do wyświetlania fałszywych komunikatów o aktualizacji oprogramowania. Użytkownik, przekonany, że pobiera legalny update, sam inicjuje infekcję. Mechanizm ten jest skuteczny, ponieważ bazuje na zaufaniu do odwiedzanej strony.

Z operacyjnego punktu widzenia działania służb i partnerów prywatnych objęły infrastrukturę C2, domeny wspierające dystrybucję oraz zaplecze kampanii. Równolegle prowadzono remediację zainfekowanych stron, identyfikację ofiar i powiadamianie podmiotów, których dane logowania zostały ujawnione.

Konsekwencje / ryzyko

Zakłócenie infrastruktury StealC i Amadey ma znaczenie wykraczające poza pojedynczą kampanię. Obie rodziny malware stanowią część szerszego łańcucha dostaw cyberprzestępczości, dlatego ich neutralizacja może czasowo ograniczyć zdolność wielu grup do pozyskiwania dostępu, kradzieży poświadczeń i przygotowywania kolejnych incydentów ransomware.

Dla organizacji największe ryzyko wynika z tego, że infostealery i loadery często pozostają niezauważone na długo przed finalnym etapem ataku. Skradzione poświadczenia mogą zostać użyte do przejęcia VPN, poczty, kont uprzywilejowanych, paneli administracyjnych lub usług chmurowych. W efekcie incydent wyglądający początkowo jak pojedyncza infekcja stacji końcowej może prowadzić do naruszenia całego środowiska.

Dla użytkowników indywidualnych zagrożenie obejmuje przejęcie kont, kradzież tożsamości, oszustwa finansowe i utratę dostępu do usług cyfrowych. Szczególnie niebezpieczne są przejęte cookies sesyjne oraz zapisane hasła, ponieważ mogą umożliwiać obejście części mechanizmów ochronnych.

Rekomendacje

Organizacje powinny traktować infostealery i loadery jako sygnał możliwego ataku wieloetapowego, a nie incydent o ograniczonym znaczeniu. W praktyce warto wdrożyć następujące działania:

  • wymusić reset haseł dla kont, które mogły zostać ujawnione;
  • włączyć MFA dla poczty, VPN, paneli administracyjnych i kont uprzywilejowanych;
  • monitorować użycie skradzionych lub nietypowych cookies sesyjnych;
  • analizować ruch do znanych lub podejrzanych domen C2 i usług pośredniczących;
  • prowadzić threat hunting pod kątem loaderów, infostealerów i nietypowych procesów potomnych;
  • aktualizować CMS, wtyczki i komponenty serwerowe, zwłaszcza w środowiskach WordPress;
  • usuwać nieautoryzowane konta administracyjne oraz sprawdzać integralność plików witryn;
  • ograniczać lokalne przechowywanie haseł w przeglądarkach i stosować menedżery haseł klasy enterprise;
  • segmentować dostęp oraz stosować zasadę najmniejszych uprawnień;
  • szkolić użytkowników, aby nie instalowali aktualizacji z wyskakujących okien i pobierali oprogramowanie wyłącznie z oficjalnych źródeł.

W przypadku wykrycia StealC lub Amadey zalecana jest pełna analiza kompromitacji, obejmująca stacje końcowe, przeglądarki, skrzynki pocztowe, konta tożsamościowe, tokeny sesyjne oraz możliwe wtórne ładunki dostarczone po infekcji.

Podsumowanie

Działania Europolu przeciwko StealC, Amadey i SocGholish pokazują rosnącą skuteczność strategii polegającej na uderzaniu w początkowe etapy łańcucha ataku. Z perspektywy bezpieczeństwa to podejście ma wysoką wartość, ponieważ eliminuje narzędzia umożliwiające masowe kompromitacje jeszcze przed wdrożeniem ransomware lub sprzedażą dostępu innym aktorom.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest prosty: infostealer lub loader nie powinien być traktowany jako incydent niskiego priorytetu. To często pierwszy widoczny objaw większej operacji, której skutki mogą obejmować kradzież poświadczeń, przejęcie kont, ruch boczny i pełne naruszenie środowiska.

Źródła

  1. Europol Disrupts StealC and Amadey Malware Infrastructure in Operation Endgame — https://securityaffairs.com/194173/cyber-crime/europol-disrupts-stealc-and-amadey-malware-infrastructure-in-operation-endgame.html
  2. Operation Endgame | Europol — https://www.europol.europa.eu/how-we-work/operations/operation-endgame
  3. Authorities continue to protect citizens from cybercriminals during major malware operation | Eurojust — https://www.eurojust.europa.eu/news/authorities-continue-protect-citizens-cybercriminals-during-major-malware-operation
  4. Microsoft stoppt die Cybercrime-Infrastruktur von Amadey und StealC — https://news.microsoft.com/source/emea/2026/06/microsoft-stoppt-die-cybercrime-infrastruktur-von-amadey-und-stealc/?lang=de