ESET присоединилась к Operation Endgame против Amadey и Stealc 2026

Экосистемы malware-as-a-service (MaaS) существенно снизили технический порог входа в киберпреступность, позволяя аффилиатам разворачивать загрузчики и инфостилеры в промышленных масштабах. Ликвидация двух ключевых MaaS-платформ — Amadey и Stealc — стала серьёзным ударом по операциям по краже учётных данных, доставке полезной нагрузки и удалённому доступу.

Что было анонсировано

ESET Research приняла участие в скоординированной глобальной операции по ликвидации ботнета Amadey и инфостилера Stealc. Операцию возглавили Microsoft Digital Crimes Unit (DCU), BitSight, Lumen и Mitsui Bussan Secure Directions (MBSD); их целью было вывести из строя всю известную сетевую инфраструктуру, используемую аффилиатами. Параллельно Европейский центр по борьбе с киберпреступностью (EC3) Европола, Федеральное ведомство уголовной полиции Германии, национальная полиция Нидерландов и Дании, а также IBM и Proofpoint расследовали Stealc в рамках Operation Endgame.

ESET предоставила технический анализ, статистику, списки известных C&C-серверов, ключи шифрования, идентификаторы кампаний и сборок, а также другую разведывательную информацию, собранную за три года отслеживания обоих семейств. Данные охватывают период с Q4 2025 по H1 2026.

ESET отслеживает ботнет Amadey и инфостилер Stealc на протяжении последних трёх лет. Для операции мы поделились статистикой за период с Q4 2025 по H1 2026, а также техническими индикаторами и конфигурационными данными, извлечёнными из обработанных образцов вредоносного ПО

Почему это важно

Для CIO, CISO и руководителей ИТ Amadey и Stealc являются одними из самых распространённых точек входа для более сложных атак. Amadey — модульный загрузчик для доставки дополнительной полезной нагрузки, а Stealc крадёт учётные данные, cookie, криптокошельки и данные расширений браузера. По данным телеметрии ESET, оба семейства распространялись глобально: наибольшее число обнаружений Amadey зафиксировано в Индии, Турции, Египте, Мексике и Испании, а Stealc — в США, Польше и Италии.

Обмен списками C&C-серверов, идентификаторами аффилиатов и ключами шифрования позволяет правоохранительным органам действовать против инфраструктуры с высокой точностью. Для предприятий ликвидация снижает краткосрочные риски кражи учётных данных и последующих атак, однако стоит продолжать мониторинг попыток восстановления инфраструктуры.

Технические детали

• Amadey: модульный загрузчик с модулями мониторинга буфера обмена, кражи учётных данных и удалённого доступа через VNC.
• Цена Amadey: 600 USD в Bitcoin за лицензию и 50 USD за каждую пересборку (pay-per-rebuild).
• Stealc: инфостилер для кражи данных из браузеров, почтовых и FTP-клиентов, игровых платформ, криптокошельков и расширений браузеров.
• Цена Stealc: месячная подписка от 1 000 USD за шесть месяцев с неограниченным созданием сборок.
• Векторы доставки: фейковые обновления ПО, инсталляторы взломанного ПО и сторонние загрузчики.
• Модель аффилиатов: self-hosted административные панели на собственной инфраструктуре.
• Вклад ESET: C&C-серверы, ключи шифрования, идентификаторы сборок и кампаний, URL-пути и конфигурационные данные.

Softprom и ESET

Softprom является официальным дистрибьютором ESET. Наша команда помогает предприятиям внедрять решения ESET для защиты конечных точек, облака и threat intelligence для противодействия MaaS-атакам, таким как Amadey и Stealc.

Этот материал подготовлен в рамках проекта Softprom DistriFlow — автоматизированной системы мониторинга и адаптации новостей вендоров. Источник: оригинальная статья.