Operações coordenadas entre agências de aplicação da lei e parceiros do setor privado resultaram na interrupção significativa das infraestruturas que sustentam as famílias de malware StealC, Amadey e SocGholish. Conhecida como Operação Endgame, a ação internacional desmantelou linhas de montagem criminosas que permitiam a escalabilidade global de ataques de ransomware, roubo de credenciais e fraudes financeiras em larga escala.
Operação Endgame e o impacto da ação coordenada
A operação, que se estendeu por duas semanas de ação coordenada, envolveu agências de aplicação da lei do Canadá, Dinamarca, Alemanha, Países Baixos, Reino Unido e Estados Unidos, além do Europol, Eurojust e parceiros do setor privado, incluindo Microsoft, Proofpoint, IBM X-Force, Bitdefender e Shadowserver. O esforço combinado visou as linhas de montagem criminosas que permitem que os ciberataques se escalem globalmente.
Os resultados principais da operação incluem a derrubada de 326 servidores e 142 domínios, o que paralisou as redes de distribuição de malware. Além disso, 41 milhões de euros (aproximadamente 47 milhões de dólares) em ativos criptográficos de origem criminosa foram identificados e congelados. Foram recuperados 27 milhões de credenciais de login roubadas e 14.971 sites infectados foram remediados, incluindo pequenas empresas, restaurantes e oficinas de reparo de automóveis.
Malware StealC e Amadey na cadeia de suprimentos do cibercrime
O StealC, classificado como um infostealer com funcionalidade de dropper, foi um dos alvos primários desta operação. Distribuído através de múltiplos vetores de ataque, o StealC foi projetado para extrair silenciosamente senhas, credenciais de acesso armazenadas, tokens de sessão e identidades digitais de sistemas comprometidos, alimentando dados roubados diretamente em mercados subterrâneos para fraude e revenda.
Trabalhando em tandem com o Amadey, um dropper/carregador espalhado principalmente através de campanhas de phishing, as duas famílias de malware formaram um elo crítico na cadeia de suprimentos do cibercrime. O Amadey estabelece o acesso inicial no dispositivo da vítima, enquanto o StealC executa a coleta de credenciais em segundo plano. De acordo com a inteligência de ameaças da Microsoft, apenas nas duas primeiras semanas de maio de 2026, o Amadey e o StealC foram coletivamente ligados a mais de 140.000 computadores infectados em todo o mundo.
SocGholish e a conexão com o Evil Corp
O SocGholish, um dropper/carregador distribuído através de pop-ups falsos de atualização de navegador em sites WordPress comprometidos, completou o trio de malwares neutralizados. O malware é atribuído ao Evil Corp, o grupo cibercriminoso russo anteriormente responsável pelo Zeus e Dridex, e associado a numerosas operações de ransomware e lavagem de dinheiro.
A Polícia Holandesa já corrigiu vulnerabilidades em sites infectados e notificou os proprietários afetados. Os administradores do WordPress são instados a alterar imediatamente as credenciais de login, habilitar a autenticação multifator, remover contas de administrador desconhecidas e manter suas plataformas atualizadas. Para evitar a infecção pelo SocGholish, os usuários nunca devem agir em prompts de atualização de navegador e devem aplicar atualizações apenas através de configurações de sistema oficiais ou lojas de aplicativos verificadas.
Medidas de mitigação e recomendações para CISOs
A Operação Endgame representa uma evolução estratégica na abordagem das forças da lei contra o cibercrime, indo além de atores de ameaças individuais para desmantelar a infraestrutura mais ampla que permite ataques em escala. O Centro Europeu de Cibercrime (EC3) do Europol forneceu suporte analítico, rastreamento de criptomoedas e notificações às vítimas através de plataformas como HaveIBeenPwned, Spamhaus e Shadowserver.
Para organizações, a recomendação é reforçar a monitoração de tráfego de saída, implementar controles de acesso rigorosos e garantir que os sistemas estejam atualizados. A notificação às vítimas está sendo distribuída através de HaveIBeenPwned, DIVD, Spamhaus, CheckjeHack, NoMoreLeaks, Shadowserver e NL-NCSC. A Operação Endgame permanece como a maior operação internacional já realizada contra facilitadores de ransomware, com mais de 30 parceiros públicos e privados apoiando ações contínuas.
Perguntas frequentes
Qual é o principal objetivo da Operação Endgame?
O objetivo é desmantelar a infraestrutura que suporta malwares como StealC, Amadey e SocGholish, impedindo a escalabilidade de ataques de cibercrime.
Quais empresas foram afetadas?
A operação visou a infraestrutura dos criminosos, mas afetou indiretamente as vítimas que tinham seus dados roubados ou sites infectados. Pequenas empresas e indivíduos foram os principais alvos dos malwares.
Como proteger-se contra esses malwares?
Mantenha sistemas atualizados, use autenticação multifator, não clique em links suspeitos e verifique a origem de atualizações de software.