ESET долучилася до Operation Endgame проти Amadey та Stealc 2026

Екосистеми malware-as-a-service (MaaS) суттєво знизили технічний поріг входу в кіберзлочинність, дозволяючи афіліатам розгортати завантажувачі та інфостілери у промислових масштабах. Ліквідація двох ключових MaaS-платформ — Amadey і Stealc — стала серйозним ударом по операціях із крадіжки облікових даних, доставки корисного навантаження та віддаленого доступу.

Що було анонсовано

ESET Research взяла участь у скоординованій глобальній операції з ліквідації ботнету Amadey та інфостілера Stealc. Операцію очолили Microsoft Digital Crimes Unit (DCU), BitSight, Lumen та Mitsui Bussan Secure Directions (MBSD); їхньою метою було вивести з ладу всю відому мережеву інфраструктуру, яку використовували афіліати. Паралельно Європейський центр боротьби з кіберзлочинністю (EC3) Європолу, Федеральне відомство кримінальної поліції Німеччини, національна поліція Нідерландів і Данії, а також IBM та Proofpoint розслідували Stealc у рамках Operation Endgame.

ESET надала технічний аналіз, статистичні дані, списки відомих C&C-серверів, ключі шифрування, ідентифікатори кампаній і збірок та іншу розвідувальну інформацію, зібрану за три роки відстеження обох сімейств. Дані охоплювали період з Q4 2025 до H1 2026.

ESET відстежує ботнет Amadey та інфостілер Stealc упродовж останніх трьох років. Для операції ми поділилися статистикою за період з Q4 2025 до H1 2026, а також технічними індикаторами та конфігураційними даними, отриманими з оброблених зразків шкідливого ПЗ

Чому це важливо

Для CIO, CISO та керівників ІТ Amadey і Stealc є одними з найпоширеніших точок входу для складніших атак. Amadey — модульний завантажувач для доставки додаткового корисного навантаження, тоді як Stealc викрадає облікові дані, cookie, криптогаманці та дані розширень браузера. За даними телеметрії ESET, обидва сімейства поширювалися глобально: найбільше виявлень Amadey зафіксовано в Індії, Туреччині, Єгипті, Мексиці та Іспанії, а Stealc — у США, Польщі та Італії.

Обмін списками C&C-серверів, ідентифікаторами афіліатів і ключами шифрування дозволяє правоохоронним органам діяти проти інфраструктури з високою точністю. Для підприємств ліквідація знижує короткострокові ризики крадіжки облікових даних і подальших атак, проте варто продовжувати моніторинг спроб відновлення інфраструктури.

Технічні деталі

• Amadey: модульний завантажувач із модулями моніторингу буфера обміну, крадіжки облікових даних і віддаленого доступу через VNC.
• Ціна Amadey: 600 USD у Bitcoin за ліцензію та 50 USD за кожне перезбирання (pay-per-rebuild).
• Stealc: інфостілер для крадіжки даних із браузерів, поштових і FTP-клієнтів, ігрових платформ, криптогаманців і розширень браузерів.
• Ціна Stealc: місячна підписка від 1 000 USD за шість місяців з необмеженим створенням збірок.
• Вектори доставки: фейкові оновлення ПЗ, інсталятори зламаного ПЗ та сторонні завантажувачі.
• Модель афіліатів: self-hosted адміністративні панелі на власній інфраструктурі.
• Внесок ESET: C&C-сервери, ключі шифрування, ідентифікатори збірок і кампаній, URL-шляхи та конфігураційні дані.

Softprom та ESET

Softprom є офіційним дистриб'ютором ESET. Наша команда допомагає підприємствам впроваджувати рішення ESET для захисту кінцевих точок, хмари та інтелекту загроз для протидії MaaS-атакам, таким як Amadey і Stealc.

Цей матеріал підготовлено в рамках проєкту Softprom DistriFlow — автоматизованої системи моніторингу та адаптації новин вендорів. Джерело: оригінальна стаття.