Globalna akcja wymierzona w złośliwe oprogramowanie typu "cyberprzestępczość jako usługa", które potajemnie opróżnia portfele kryptowalut, doprowadziła do zamrożenia dziesiątek milionów dolarów skradzionych funduszy.
Organy ścigania zidentyfikowały, oznaczyły i zamroziły ponad 41 milionów euro (około 47 milionów dolarów) w przestępczych aktywach kryptowalutowych w najnowszej fazie Operacji Endgame, poinformował Europol w środę. Dwutygodniowa, międzynarodowa akcja zniszczyła infrastrukturę stojącą za trzema rodzinami złośliwego oprogramowania: SocGholish, Amadey i StealC.
Wszystkie trzy są wymierzone w użytkowników kryptowalut. StealC, infostealer sprzedawany jako usługa od 2023 roku, zbiera hasła, pliki cookie przeglądarek i dane portfeli kryptowalutowych z zainfekowanych maszyn. Panel sterowania programu zawierał nawet wtyczkę, która próbowała odszyfrować frazy seed portfeli MetaMask ofiar, jak odkryli badacze z Proofpoint.
Amadey uzyskuje początkowe przyczółek i rozprowadza dalsze złośliwe oprogramowanie, podczas gdy SocGholish, powiązany z rosyjską grupą Evil Corp, infekuje ludzi poprzez fałszywe monity o aktualizację przeglądarki na zhakowanych stronach internetowych. Razem tworzą one front ataków, które kończą się opróżnionymi portfelami, przejęciem kont i oprogramowaniem ransomware.
Policja zlikwidowała 326 serwerów i 142 domeny, odzyskała prawie 27 milionów skradzionych danych uwierzytelniających z ponad 385 000 skompromitowanych systemów i oczyściła prawie 15 000 zainfekowanych stron internetowych, wiele z nich należących do małych firm. Microsoft, partner w operacji, powiązał Amadey i StealC z ponad 140 000 zainfekowanych komputerów na całym świecie w ciągu samych pierwszych dwóch tygodni maja.
Infostealery stały się główną drogą do kradzieży kryptowalut, cicho wyciągając pliki portfeli, klucze prywatne i frazy seed z urządzeń ofiar. Wykorzystują różnorodne wektory do atakowania użytkowników kryptowalut, w tym fałszywe narzędzia AI, tapety Steam i pirackie modyfikacje gier.
Skala ekspozycji jest ogromna. Wcześniejsza akcja Operation Endgame pod koniec ubiegłego roku ujawniła dane logowania do ponad 100 000 portfeli kryptowalut, skradzionych ofiarom, ale jeszcze nie opróżnionych.
Jednostka ds. Przestępczości Cyfrowej Microsoftu złożyła osobny pozew w USA w sprawie przestępczości zorganizowanej, który po raz pierwszy potraktował dwie rodziny złośliwego oprogramowania jako jeden spisek przestępczy. Wykorzystując narzędzia AI, w tym Copilot, do analizy złośliwego oprogramowania, śledczy odkryli, że Amadey i StealC, choć stworzone przez różnych przestępców, działały na wspólnej infrastrukturze, co pozwoliło Microsoftowi oskarżyć osoby umożliwiające te działania w ramach ustawy RICO i zakłócić pracę ponad 200 serwerów kontrolno-dowodzących. Od tego czasu zidentyfikowano ponad 18 000 komputerów ofiar i rozpoczęto odcinanie kontroli atakujących.
.@Microsoft Digital Crimes Unit has taken down five operations in nine months that were enabling Cybercrime as a Service (CaaS).
Cybercrime runs on coordination. Disrupting it takes the same approach, working with partners to break up the systems that make these attacks… pic.twitter.com/b7ZVqdCatY
— Microsoft On the Issues (@MSFTIssues) June 24, 2026
Takie akcje rzadko całkowicie eliminują złośliwe oprogramowanie, a operatorzy mają tendencję do przegrupowywania się, a StealC dostarczył nową wersję jeszcze w tym miesiącu. Na razie Europol i jego partnerzy przekierowują alerty dla ofiar za pośrednictwem usług takich jak Have I Been Pwned, aby użytkownicy mogli sprawdzić, czy ich dane uwierzytelniające i klucze do ich portfeli nie znalazły się już w rękach przestępców.
