Microsoft e Europol derrubam infraestrutura de StealC, Amadey e SocGholish em operação que tirou 326 servidores do ar

Microsoft e Europol anunciaram nesta quarta-feira uma das maiores ações coordenadas do ano contra o modelo de cibercrime como serviço, com a derrubada de 326 servidores e 142 domínios usados pelos operadores de SocGholish, Amadey e StealC. O esforço, que durou cerca de duas semanas, identificou 41 milhões de euros (47 milhões de dólares) em criptoativos de origem criminosa, recuperou 27 milhões de credenciais roubadas e mapeou quase 15 mil sites legítimos comprometidos para servir de iscas.

O que aconteceu

Em comunicado divulgado pela Europol e por uma série de posts no blog de segurança da Microsoft, a operação foi descrita como um ataque cirúrgico à “linha de montagem” que sustenta boa parte do ecossistema de ransomware, fraude financeira e ataques a infraestrutura crítica. Em vez de prender operadores isolados, as agências focaram nos serviços compartilhados que essas gangues vendiam a outros criminosos: panéis de afiliados, hospedagem, gestão de credenciais e cadeias de droppers prontas para usar.

Os três alvos formam um trio bem conhecido pelos defensores. O StealC é um info stealer modular que coleta senhas, cookies, tokens de sessão e dados de carteiras de criptomoedas. O Amadey é um dropper, ou seja, ferramenta de acesso inicial usada para abrir caminho para outras famílias de malware. O SocGholish, por sua vez, é o operador clássico das falsas atualizações de navegador entregues em sites legítimos comprometidos: o usuário entra em um portal de notícias ou serviço corporativo e recebe um popup pedindo para atualizar o Chrome, Edge ou Firefox, baixando o malware ao clicar.

De acordo com a Microsoft, as famílias StealC e Amadey foram identificadas em mais de 140 mil computadores infectados em todo o mundo apenas nas primeiras duas semanas de maio. A operação conseguiu mapear 18 mil vítimas com dispositivos efetivamente comprometidos.

Como o ecossistema funciona

O modelo pay-as-you-go tornou cibercrime acessível a operadores com pouca experiência técnica. Por mensalidades que variam de poucos dólares a algumas centenas, um afiliado contrata uma instância de Amadey ou StealC e ganha um painel para gerenciar bots, exfiltrar dados e contratar serviços complementares como cripteros e injetores. A Microsoft destaca um detalhe importante para defensores: ao usar inteligência artificial em sua própria pesquisa, a empresa descobriu que Amadey e StealC compartilham infraestrutura de back-end, o que tornou possível derrubar os dois de uma só vez e maximizar o impacto.

“Modelos modulares pague-conforme-usa, como o StealC e o Amadey, permitem que atores de ameaça transformem uma única infecção inicial em múltiplas outras ameaças em pouco tempo.”

Equipe de Pesquisa da Microsoft

O SocGholish opera em outra camada: a Europol identificou 14.971 sites infectados, na maior parte pertencentes a varejistas comuns, prestadores de serviços e portais de informação. Esses sites legítimos hospedam scripts maliciosos que detectam o navegador e o sistema operacional da vítima e disparam o falso prompt de atualização. Uma vez instalado, o SocGholish funciona como porta de entrada para ransomware como Evil Corp e WastedLocker, ou para o Cobalt Strike usado em intrusões direcionadas.

O impacto da operação

• 326 servidores apreendidos ou redirecionados (sinkholing) por forças policiais;
• 142 domínios removidos do ar ou tomados sob custódia judicial;
• 27 milhões de credenciais roubadas devolvidas aos donos ou marcadas para troca obrigatória;
• 41 milhões de euros em criptoativos de origem criminosa rastreados;
• 14.971 sites legítimos com SocGholish identificados, com notificação aos proprietários e provedores;
• Disrupção dos panéis de afiliados, forçando renomeações, migração e perda momentânea de receita das gangues.

Análise

Esta é uma das primeiras grandes operações de 2026 que demonstra como o modelo de takedown evoluiu nos últimos dois anos. Diferente das ações pioneiras contra Emotet em 2021 ou contra Qakbot em 2023, a coordenação entre Europol e Microsoft agora envolve não apenas remoção de infraestrutura, mas também devolução de credenciais às vítimas e uso de IA para mapear conexões entre operadores que ainda tentavam manter o mito da compartimentação. O resultado é uma operação que combina lawfare, takedown técnico e inteligência defensiva em paralelo.

Vale, porém, calibrar a expectativa. Operadores de malware-as-a-service são notoriamente resilientes. Trickbot, Qakbot e Lumma já mostraram que, com um intervalo de algumas semanas a poucos meses, os afiliados migram para novos painéis, contratam revendedores intermediários e reerguem operações sob nova marca. A própria SocGholish já passou por várias reestruturações desde sua identificação inicial. A vitória mais durável de uma operação como esta não é eliminar as famílias, e sim impor custo, queimar reputação no submundo e gerar inteligência que alimente as próximas rodadas.

Para o Brasil, há um ponto de atenção específico. SocGholish e StealC têm presença significativa em campanhas de fraude bancária e de roubo de credenciais corporativas em portais de e-commerce hospedados no país. O perfil das 14 mil iscas inclui muitos sites de pequenos varejistas e prestadores de serviços, e é provável que parte delas esteja em hospedagens brasileiras com WordPress desatualizado. Esse é o tipo de operação que abre janelas de threat hunting reais para times locais nos próximos dias.

Recomendações práticas

• Force a troca imediata de senhas em todos os sistemas onde houver suspeita de exposição de credenciais via stealer, especialmente contas com SSO corporativo e VPN;
• Habilite MFA resistente a phishing (chaves FIDO2 ou passkeys) nas contas de administradores e serviços críticos, ao invés de SMS ou apps OTP que stealers conseguem sequestrar com tokens de sessão;
• Revogue sessões ativas e tokens de longo prazo em todas as identidades de funcionários expostos, não apenas troque senhas;
• Audite carrinhos WordPress, Magento e plataformas e-commerce em busca de scripts adicionados sem aprovação, especialmente JS de update.js falsos atribuídos ao SocGholish;
• Implemente bloqueio de execução para arquivos baixados de sites de notícia ou comércio, e treine usuários a desconfiar de “atualizações de navegador” oferecidas dentro de páginas;
• Use feeds de IOCs publicados pela Microsoft e por parceiros do MISP para reforçar regras de EDR e proxies;
• Acompanhe a comunicação oficial da Europol e da Microsoft, pois operações desse porte costumam liberar lotes adicionais de indicadores nas semanas seguintes.

Fonte: The Record from Recorded Future News