Microsoft и Europol пресекли работу загрузчика Amadey и стилера StealC в рамках операции Endgame

Информационные стилеры остаются одной из самых распространённых и опасных угроз в экосистеме киберпреступности. Они играют ключевую роль в компрометации систем, незаметно собирая пароли, файлы cookie и токены сессий, после чего передают украденные данные на серверы злоумышленников. Если не принять мер, заражение одного личного устройства сотрудника может превратиться в угрозу для всего предприятия: стилер способен извлечь учётные данные для корпоративного VPN, токены единого входа (SSO) и сессионные файлы cookie, позволяющие обойти многофакторную аутентификацию (MFA).

StealC и Amadey являются типичными представителями модели "вредоносное ПО как услуга" (MaaS). StealC - это C++-стилер, который с начала 2023 года продаётся на русскоязычных форумах как подписка. Он собирает данные из браузеров (учётные записи, cookie, автозаполнение), криптовалютных кошельков, мессенджеров, почтовых клиентов и игровых платформ. После сбора информации он может самостоятельно загружать и выполнять дополнительные полезные нагрузки. Amadey, активный с 2018 года, выполняет роль загрузчика: он обеспечивает первоначальное проникновение, затем загружает и запускает стилеры, трояны удалённого доступа (RAT), криптомайнеры и другое вредоносное ПО. Обе программы продаются по подписке, что снижает порог входа для злоумышленников и увеличивает разнообразие вариантов.

Цепочка атаки с участием этих угроз обычно начинается с фишинга, SEO-отравления, вредоносной рекламы или техники ClickFix, когда пользователя обманом заставляют выполнить команду в терминале. Загрузчик Amadey, попав на устройство, копирует себя в системную папку, создаёт задачу в планировщике Windows для закрепления в системе и связывается со своим C2. После регистрации он может получить команду на загрузку StealC или другого вредоносного ПО. StealC, в свою очередь, после выполнения проверки на локаль (избегает систем с русским, украинским, белорусским, казахским или узбекским языком), собирает данные и передаёт их на собственный сервер C2.

Согласно телеметрии Bitsight TRACE, предоставившей разведданные для операции, за 90 дней наблюдений в 2026 году было зафиксировано около 200 000 уникальных IP-адресов, заражённых Amadey, при этом наибольшее количество жертв пришлось на Индию. Для StealC, по выборке из январьских логов 2025 года, было выявлено около 5000 заражённых машин. Эти цифры отражают лишь часть реального масштаба, так как значительная доля жертв остаётся вне поля зрения аналитиков.

Кража учётных данных с помощью стилеров представляет серьёзную угрозу для бизнеса. Украденные логины и сессионные токены быстро попадают на теневые рынки и в Telegram-каналы, где один лог может стоить от 2 до 100 долларов в зависимости от ценности. Посредники, так называемые брокеры доступа, проверяют и перепродают эти данные, часто в течение 48-72 часов после кражи. Злоумышленники, получив корпоративные учётные данные, могут обойти MFA, используя украденные сессионные cookie, и проникнуть в сеть предприятия, оставаясь незамеченными до момента развёртывания программ-вымогателей или масштабной утечки данных.

Операция Endgame продемонстрировала эффективность публично-частного партнёрства. Bitsight TRACE внёс вклад, предоставив карту инфраструктуры C2, наборы индикаторов компрометации и телеметрию инфекций в реальном времени. В ходе операции использовались специализированные инструменты, в том числе Microsoft Copilot, для анализа бинарных файлов StealC и Amadey, что позволило быстро выявить жёстко заданные адреса C2. Изъятые домены теперь отображают предупредительную страницу, уведомляющую о конфискации.

В ближайшее время ожидается, что операторы обеих угроз предпримут попытки восстановить инфраструктуру, создав новые C2-серверы и пересобрав панели управления. Наблюдения Bitsight показывают, что Amadey и StealC часто используют одни и те же хостинг-провайдеры, что может привести к повторному появлению связанных сетей. Тем не менее, данная операция нанесла значительный удар по цепочке поставок киберпреступности, нарушив работу двух ключевых звеньев "конвейера" заражения. Защита организаций от подобных угроз требует комплексного подхода: мониторинга аномалий в авторизации, строгой гигиены учётных данных, внедрения политик нулевого доверия и быстрой реакции на инциденты.

IPv4

• 144.31.57.65
• 158.94.208.102
• 158.94.210.59
• 158.94.211.17
• 163.245.208.50
• 170.130.55.223
• 176.65.144.60
• 193.111.117.51
• 196.251.107.130
• 196.251.107.248
• 62.60.226.140
• 62.60.226.159
• 89.169.53.244
• 91.92.240.52
• 91.92.241.243
• 91.92.242.236
• 94.154.35.25
• 94.156.155.42

Domain

• secure.controlpanel.asia

URL

• http://158.94.208.102/bot_x64.exe
• http://163.245.208.50/Psd8eZaW/
• http://176.65.144.60/Psd8eZaW/index.php
• http://196.251.107.130/16b022998f754137b60a.php
• http://196.251.107.130/h84jjfAr/index.php
• http://196.251.107.248/kont2rt/index.php
• http://62.60.226.159/Psd8eZaW/index.php
• http://62.60.226.159/znz.exe
• http://62.60.226.159/zx.exe
• http://89.169.53.244/71854e1a414647de.php
• http://91.92.240.52/b386dbfbf4a3432f956d.php
• http://91.92.242.236/oPvjr94jfe/index.php
• http://94.154.35.25/di9ku38f/
• http://94.156.155.42/ba4b1981c6311c6e6f1a.php
• http://bluescry.com/01f96fd710e905ca2326.php
• http://cdntestconnect.com/ed54b97a570943999715.php
• http://goodpanelforgoodjob.com/hg8jjfSr5hy/index.php
• http://microsoft-telemetry.at/cvdfnaFJBmC0/index.php
• http://polse.us/62ea47cac2534aa18f74.php
• http://rebustan.top/gd7djkDveE2/index.php
• http://roger99699.xyz/425f1faf4b214434b8a3.php
• http://secure.controlpanel.asia/330311481fe14ab99814.php
• http://spasopro.at/Lsge63sd3/index.php
• http://svclsc.com/ms/index.php
• https://bartsen284.online/39d9612df78e45b5a4bb.php
• https://neltron-geltron.shop/e396586b99ee49d19cc3.php

MD5

40e502533b2a521d0974e1d9b6076c82

SHA256

• 0215f734867bd71c57ff5c524d8cc670be5b4f1861b2c390cf46d18784a53624
• 1246c5b89ab668c1137f377507bc3e266a98e93248382aa026610ae1e764a497
• 2841aab00ee6f00213e594dc562d03b982e6d8570a6de2a0797f3a147665f4ca
• 2a0f053855da59b3b56812e580d7baeba59fc9493694722aa9e3f121ee3363f1
• 30cef3d3d956e83e2c50579cfbe57a49159cccbcc8b0b0422f27d55e1c401ad9
• 3d966faf6abea9dc401515b863887466f6f5913b0c27e1d79d7bebc994efb16e
• 43455f1ff4a623b783da670d052eb77eaaacb0c66a9f1e8508f802bf22e8129e
• 4dc02f52216eee33e946e81e21860f951e2f5d47b54a7615209b02071ce3480c
• 5258a241f8c67e1666060e2c033d127dee8c2c50c7a8dfe0676264e9cb6762c1
• 5f5b25b2e35d404034d0d60975cf1ffbc6f141761ec3f4f15d6f7c6213a056f6
• 72e27dc4ded2a76a5c29109161b87c3ea8f677eb355e79cedecc99b1b1fa6aff
• 8cef760d11d24fc2e9bbd9f770dca5105854f7ece3b0e6948d7c8b7fdd1765ea
• 8f32456359f209a63adfd24b94235e1727382ac7f7bb7f2bcaf754e721925b64
• 9383572a30ae5b76fadd0700fbd7a1aa7b05d0b6c8f9cdaef9b30a3e1f65d57d
• 9511ac1a00c40e879a726eed9a549adc725faff959b218011d3ed1c66f478674
• 9735cb203175e5b77ea68f665d81aed39a7e85b6f484a0948c81ac85d9a5f3d4
• 977b33a9b481cf714946b7d386865cd5d284312aa5ecfa0546c197b1003e1bde
• 98e504cc7125b79eda5491f40b998605a05f4cd968b961aab4cce7beb074fefe
• 99507f18c4e61fdb109805404bf6a79ea8ce2fddc590ce48d717e97516ab7e8d
• b7d1f172ff3feafe65d47fd1cbe0cc249316371ae0e1cbe3a7c741c738b3353d
• bae0f38f58ad93728261f09840721ebedb9669a445f40083396fdd0da38a22a7
• bf24277400cc453d530e4277d3bd24e96c5e409adef6970518bdc59205aa0241
• ca4d4c4fc3e5d5cfa922b898f2d7411f03a446dddb139ba45dfd4f8f0018b64f
• d43c988d6f9cb355497696b580621fb1bdb7b6ed6d90f97520ecf6da5a1a41ff
• da921834b074ea5c015dbe16ec50ed110700609cfb469240bb96139b20d313fa
• f4584140becea8907edb22c8a99d5e9e9157931aa1e2ab29522adbc9ba684f07
• fd06ae3e73f328efef8e2589a126443f7ab5ef6fee8334cd938005f2b5c907b9