Europol Congela $47M in criptomoedas durante operação global contra infostealers

As autoridades congelaram mais de €41 milhões (aproximadamente US$ 47 milhões) em criptomoedas criminosas como parte da Operação Endgame, anunciou a Europol na quarta-feira. A operação multi-país de duas semanas desmantelou a infraestrutura por trás de três famílias de malware—SocGholish, Amadey e StealC—que roubam senhas e dados de carteiras de criptomoedas para possibilitar fraudes e ataques de ransomware. O ataque teve como alvo plataformas de cybercrime-as-a-service que drenam silenciosamente carteiras de criptomoedas ao extrair credenciais e chaves privadas de sistemas infectados.

Famílias de Malware Visam Credenciais de Carteiras de Criptomoedas

Todas as três famílias de malware visam especificamente usuários de criptomoedas através de diferentes vetores de ataque. StealC, um infostealer vendido como serviço desde 2023, extrai senhas, cookies de navegador e dados de carteiras de criptomoedas de máquinas infectadas. Pesquisadores da Proofpoint descobriram que seu painel de controle incluía um plugin que tentava descriptografar frases-semente das carteiras MetaMask das vítimas.

Amadey estabelece acesso inicial ao sistema e implanta malware adicional. SocGholish, ligado ao grupo russo Evil Corp, infecta usuários através de prompts falsos de atualização de navegador em sites comprometidos. A cadeia de malware culmina em carteiras drenadas, contas assumidas e implantação de ransomware.

Infostealers tornaram-se uma rota primária para criptomoedas roubadas ao extrair arquivos de carteira, chaves privadas e frases-semente dos dispositivos das vítimas. Os vetores de ataque incluem ferramentas falsas de IA, wallpapers do Steam e modificações de jogos piratas.

Polícia Desmantela 326 Servidores e Recupera 27 Milhões de Credenciais

A operação derrubou 326 servidores e 142 domínios. A polícia recuperou quase 27 milhões de credenciais roubadas de mais de 385 mil sistemas comprometidos e limpou quase 15 mil sites infectados, muitos pertencentes a pequenas empresas.

A Microsoft, parceira na operação, vinculou Amadey e StealC a mais de 140 mil computadores infectados em todo o mundo apenas nas duas primeiras semanas de maio. Uma ação anterior da Operação Endgame no final do ano passado descobriu dados de login de mais de 100 mil carteiras de criptomoedas roubadas de vítimas, mas ainda não esvaziadas.

Microsoft Processa Operadores de Malware com Base na Lei RICO

A Unidade de Crimes Digitais da Microsoft entrou com uma ação judicial de extorsão nos EUA tratando duas famílias de malware como uma única conspiração criminosa. Usando ferramentas de IA incluindo o Copilot para analisar o malware, os investigadores descobriram que Amadey e StealC, embora construídos por criminosos diferentes, operavam em infraestrutura compartilhada.

A ação judicial permitiu que a Microsoft acusasse facilitadores de ambas as operações sob a Lei RICO e interrompesse mais de 200 servidores de comando e controle. A empresa identificou mais de 18 mil computadores de vítimas e iniciou o corte do controle dos atacantes.

Alertas de Vítimas Encaminhados Através do Serviço Have I Been Pwned

A Europol e seus parceiros estão encaminhando alertas de vítimas através de serviços como Have I Been Pwned, permitindo que os usuários verifiquem se suas credenciais e chaves de carteira de criptomoedas estão em mãos criminosas. Os operadores do StealC lançaram uma nova versão do malware já neste mês.

FAQ

O que a Europol anunciou na quarta-feira sobre a Operação Endgame? A Europol anunciou que as autoridades congelaram mais de €41 milhões (US$ 47 milhões) em criptomoedas criminosas e desmantelaram a infraestrutura por trás de três famílias de malware—SocGholish, Amadey e StealC—durante uma operação multi-país de duas semanas.

Quantos servidores e credenciais a polícia recuperou na derrubada da Operação Endgame? A polícia derrubou 326 servidores e 142 domínios, recuperou quase 27 milhões de credenciais roubadas de mais de 385 mil sistemas comprometidos e limpou quase 15 mil sites infectados durante a operação.