Operação Endgame: Autoridades Desmantelam Infraestrutura de Malware Amadey e StealC
Uma operação internacional coordenada resultou na desativação de centenas de servidores e domínios utilizados pelos malwares Amadey e StealC. A ação apreendeu milhões de credenciais roubadas e bloqueou ativos digitais significativos.
MundiX News·30 de junho de 2026·4 min de leitura·👁 1 views
Em uma ação conjunta sem precedentes, autoridades policiais e especialistas em cibersegurança de diversos países desmantelaram a infraestrutura de malware utilizada pelos operadores do Amadey, um infostealer, e do StealC, um loader. A operação, denominada Endgame, desativou centenas de servidores e domínios, recuperou aproximadamente 27 milhões de credenciais roubadas e bloqueou ativos em criptomoedas avaliados em dezenas de milhões de dólares. Essa iniciativa representa um golpe significativo contra a economia cibercriminosa que se beneficia da distribuição de malware como serviço (MaaS).
A operação, que ocorreu entre 15 e 19 de junho de 2026, contou com a participação de agências de aplicação da lei da Bélgica, Canadá, Dinamarca, França, Alemanha, Países Baixos, Reino Unido e Estados Unidos. A coordenação ficou a cargo da Europol e Eurojust, com o apoio técnico crucial de empresas como Microsoft, ESET, Bitdefender, Bitsight, Proofpoint e IBM X-Force. No total, foram desativados 326 servidores e 142 domínios. Além disso, as autoridades conseguiram "congelar" ativos em criptomoedas de origem criminosa com valor superior a 41 milhões de euros. A descoberta de cerca de 27 milhões de credenciais roubadas, provenientes de mais de 385.000 sistemas infectados, evidencia a vasta escala das operações desses grupos.
Os malwares Amadey e StealC operam sob o modelo de Malware-as-a-Service (MaaS), onde os operadores fornecem aos seus clientes acesso a builders de malware, painéis de controle, suporte técnico e infraestrutura pronta para uso. O Amadey, tipicamente, funciona como um loader, estabelecendo persistência em um sistema para, em seguida, baixar e instalar outros tipos de malware, como stealers, RATs (Remote Access Trojans) e ransomware. O StealC, por sua vez, é especializado em roubar informações sensíveis, incluindo senhas, cookies de sessão, dados de cartões bancários e de criptomoedas, histórico de navegação, arquivos e informações de diversos aplicativos. Frequentemente, esses malwares colaboram: o Amadey garante o acesso inicial, permitindo que o StealC realize o roubo de dados, que são posteriormente vendidos na dark web ou repassados a outros criminosos. As credenciais roubadas são, então, utilizadas para invadir redes corporativas, exfiltrar dados confidenciais e implantar ransomware.
Dados da Microsoft indicam que, apenas nas primeiras duas semanas de maio de 2026, Amadey e StealC atingiram mais de 140.000 dispositivos globalmente. Os especialistas da Microsoft identificaram mais de 18.000 dispositivos infectados e removeram o controle dos criminosos sobre eles. Cerca de 200 domínios e endereços IP de servidores de comando e controle (C2) maliciosos também foram descobertos e neutralizados. A desativação dessa infraestrutura foi realizada por meio de ordens judiciais, apreensão de domínios e cooperação com provedores de hospedagem. Esta ação se soma a outras operações recentes, como a desativação da infraestrutura do loader SocGholish (também conhecido como FakeUpdates e GhoLoader), associado ao grupo Evil Corp, que também faz parte da fase atual da operação Endgame.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Em uma ação conjunta sem precedentes, autoridades policiais e especialistas em cibersegurança de diversos países desmantelaram a infraestrutura de malware utilizada pelos operadores do Amadey, um infostealer, e do StealC, um loader. A operação, denominada Endgame, desativou centenas de servidores e domínios, recuperou aproximadamente 27 milhões de credenciais roubadas e bloqueou ativos em criptomoedas avaliados em dezenas de milhões de dólares. Essa iniciativa representa um golpe significativo contra a economia cibercriminosa que se beneficia da distribuição de malware como serviço (MaaS).
A operação, que ocorreu entre 15 e 19 de junho de 2026, contou com a participação de agências de aplicação da lei da Bélgica, Canadá, Dinamarca, França, Alemanha, Países Baixos, Reino Unido e Estados Unidos. A coordenação ficou a cargo da Europol e Eurojust, com o apoio técnico crucial de empresas como Microsoft, ESET, Bitdefender, Bitsight, Proofpoint e IBM X-Force. No total, foram desativados 326 servidores e 142 domínios. Além disso, as autoridades conseguiram "congelar" ativos em criptomoedas de origem criminosa com valor superior a 41 milhões de euros. A descoberta de cerca de 27 milhões de credenciais roubadas, provenientes de mais de 385.000 sistemas infectados, evidencia a vasta escala das operações desses grupos.
Os malwares Amadey e StealC operam sob o modelo de Malware-as-a-Service (MaaS), onde os operadores fornecem aos seus clientes acesso a builders de malware, painéis de controle, suporte técnico e infraestrutura pronta para uso. O Amadey, tipicamente, funciona como um loader, estabelecendo persistência em um sistema para, em seguida, baixar e instalar outros tipos de malware, como stealers, RATs (Remote Access Trojans) e ransomware. O StealC, por sua vez, é especializado em roubar informações sensíveis, incluindo senhas, cookies de sessão, dados de cartões bancários e de criptomoedas, histórico de navegação, arquivos e informações de diversos aplicativos. Frequentemente, esses malwares colaboram: o Amadey garante o acesso inicial, permitindo que o StealC realize o roubo de dados, que são posteriormente vendidos na dark web ou repassados a outros criminosos. As credenciais roubadas são, então, utilizadas para invadir redes corporativas, exfiltrar dados confidenciais e implantar ransomware.
Dados da Microsoft indicam que, apenas nas primeiras duas semanas de maio de 2026, Amadey e StealC atingiram mais de 140.000 dispositivos globalmente. Os especialistas da Microsoft identificaram mais de 18.000 dispositivos infectados e removeram o controle dos criminosos sobre eles. Cerca de 200 domínios e endereços IP de servidores de comando e controle (C2) maliciosos também foram descobertos e neutralizados. A desativação dessa infraestrutura foi realizada por meio de ordens judiciais, apreensão de domínios e cooperação com provedores de hospedagem. Esta ação se soma a outras operações recentes, como a desativação da infraestrutura do loader SocGholish (também conhecido como FakeUpdates e GhoLoader), associado ao grupo Evil Corp, que também faz parte da fase atual da operação Endgame.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
