Una vasta operazione internazionale di contrasto al cybercrime ha colpito in modo diretto le infrastrutture usate per distribuire Amadey e StealC, due famiglie di malware molto diffuse nel panorama delle minacce informatiche. L’azione coordinata tra forze dell’ordine e aziende di sicurezza informatica ha portato allo smantellamento di 326 server e 142 domini, riducendo la capacità operativa delle reti criminali e interrompendo le cosiddette catene di distribuzione che alimentano ransomware, frodi finanziarie e attacchi contro infrastrutture critiche.
Uno dei risultati più rilevanti riguarda il recupero di 27 milioni di credenziali rubate, un dato che evidenzia quanto gli infostealer e i loader siano centrali nell’economia del malware as a service. In parallelo sono stati individuati e limitati asset in criptovalute di provenienza illecita per un valore superiore a 47 milioni di dollari, segnale dell’attenzione crescente verso il tracciamento finanziario nelle indagini di sicurezza informatica.
Amadey e StealC vengono promossi e venduti con modelli commerciali differenti ma con un obiettivo comune: monetizzare l’accesso iniziale ai sistemi compromessi. Amadey opera spesso come loader modulare e backdoor, attivo da anni, in grado di eseguire comandi, scaricare payload aggiuntivi, catturare screenshot, abilitare RDP, raccogliere contenuti della clipboard e credenziali, oltre a creare proxy SOCKS e sessioni di controllo remoto. Questa flessibilità lo rende un componente ideale per costruire campagne scalabili e per distribuire ulteriori malware.
StealC invece si concentra sulla sottrazione di dati sensibili. Può estrarre credenziali, cookie di sessione, dati di autofill, informazioni sulle carte di credito, cronologia di navigazione e dati delle estensioni del browser. Inoltre prende di mira applicazioni desktop molto usate come Discord, FileZilla, Foxmail, Microsoft Outlook, Steam e Telegram, e può anche scaricare ed eseguire altri file eseguibili o script su comando del server di controllo.
Un aspetto significativo è la logica di esclusione basata sulla lingua o sul paese, adottata da entrambe le minacce per evitare determinati contesti geografici. Le analisi indicano anche una forte concentrazione di infezioni di StealC in paesi come Stati Uniti, Polonia e Italia, elemento utile per orientare monitoraggio e difese.