CEVIU Logo
Voltar
Ação policial derruba infraestrutura dos malwares Amadey e StealC e recupera 27 milhões de credenciais roubadas
🚨CEVIU Segurança da Informação

Ação policial derruba infraestrutura dos malwares Amadey e StealC e recupera 27 milhões de credenciais roubadas

Aprofundamento CEVIU

Aprofundamento

A Operação Endgame expôs a engrenagem real do modelo de malware como serviço. Amadey e StealC não atuam como ferramentas isoladas. O loader garante acesso inicial e aluga o ponto de apoio. O infostealer extrai cookies de sessão e credenciais para revenda em fóruns clandestinos. A Microsoft e os parceiros cortaram mais de duzentos pontos de comando e controle. O bloqueio de servidores quebra o ciclo de atualização das variantes.

A arquitetura desses códigos explora falhas de configuração e vetores como phishing. O painel administrativo do StealC continha vulnerabilidades críticas. Cross-site scripting e traversal de diretório permitiam injeção de web shells. A Microsoft já derrubou centenas de endpoints, mas as equipes de defesa precisam validar se os sistemas internos mantêm comunicação residual com os antigos domínios. A recuperação de vinte e sete milhões de logins mostra a escala do vazamento. Auditoria de credenciais e rotação de sessões ativas viram prioridade imediata para organizações com presença nos Estados Unidos, Polônia ou Itália.

Por que isso importa

Empresas que terceirizam infraestrutura ou mantêm painéis desatualizados viram alvo fácil para esses payloads. O modelo de assinatura e pagamento por reconstrução de binário reduz o custo operacional dos criminosos. A queda da rede interrompe a entrega de ransomwares de próxima geração, mas o dano colateral permanece. Vinte e sete milhões de credenciais circulam em mãos alheias. Equipes de SOC devem priorizar a detecção de tráfego anômalo em portas de proxy e monitorar tentativas de acesso a contas expostas.

A ação conjunta marca endurecimento regulatório contra a economia do crime digital. O bloqueio de quarenta e sete milhões de dólares em criptoativos demonstra que autoridades rastreiam a cadeia financeira com precisão técnica. Profissionais de cibersegurança precisam tratar a gestão de vulnerabilidades em painéis de terceiros como risco direto. Atualização contínua e segmentação de rede viram controles obrigatórios para evitar a execução silenciosa de scripts maliciosos.

Linha do tempo

  1. Ativação inicial do Amadey no ambiente real como loader modular em C++.

  2. Surgimento do StealC e consolidação do ecossistema de infostealers como serviço.

  3. Correção crítica no painel de comando do StealC após identificação de falhas de injeção.

  4. Início da execução técnica da Operação Endgame com derrubada coordenada de infraestrutura.

  5. Desmantelamento oficial da rede, apreensão de criptoativos e bloqueio massivo de credenciais vazadas.

Perguntas frequentes

Qual é a diferença técnica entre loader e infostealer nessa operação?

O loader, representado pelo Amadey, serve como porta de entrada e mantém persistência na máquina comprometida. Ele baixa e executa o payload final. O infostealer, no caso do StealC, atua em sequência para extrair dados sensíveis como senhas e cookies. Ambos se complementam na cadeia de produção do crime digital.

As falhas no painel do StealC foram exploradas por defensores ou por outros criminosos?

Pesquisadores reportaram brechas de cross-site scripting e traversal de diretório em janeiro de 2026. Os desenvolvedores corrigiram o código em fevereiro, mas evidências indicam que afiliados exploraram as vulnerabilidades antes do patch para roubar dados de concorrentes. As autoridades receberam os relatórios para uso exclusivo em investigações.

Como as empresas podem verificar se foram impactadas por esses códigos?

As autoridades e a Microsoft divulgaram indicadores de comprometimento com os endereços e domínios apreendidos. Equipes de defesa devem cruzar esses dados com logs de firewall e proxies. A rotação imediata de credenciais e a verificação de sessões ativas em navegadores críticos reduzem o risco de acesso não autorizado.

Por que os malwares ignoram sistemas configurados para países da antiga União Soviética?

Tanto o Amadey quanto o StealC executam verificação de idioma e localização do sistema operacional. O código é programado para encerrar processos de coleta quando detecta locale da Rússia, Ucrânia ou Bielorrússia. Essa regra interna visa proteger os operadores de processos judiciais locais.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
26 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser