ESET Research ha sido parte de una operación global para desarticular las redes de cibercriminales asociadas al botnet Amadey y al infostealer Stealc. Esta iniciativa, denominada «Operación Endgame», fue organizada en colaboración con la Microsoft Digital Crimes Unit y otros socios, incluyendo BitSight y Lumen. El objetivo fue atacar la infraestructura de red conocida utilizada por los afiliados de ambas amenazas, lo que llevó a la interrupción de aproximadamente 50 dominios y cerca de 200 servidores de comando y control (C&C) activos vinculados a estas operaciones maliciosas.
Durante los últimos tres años, ESET había estado realizando un seguimiento de Amadey, un cargador de malware modular, y Stealc, un infostealer típico. La participación de ESET en la operación incluyó el suministro de análisis técnicos detallados, información estadística y datos sobre servidores de C&C y claves de encriptación que fueron vitales para identificar las operaciones delictivas en curso.
Amadey se ofrece como un servicio que permite distribuir malware adicional a sistemas comprometidos, además de contar con módulos para la exfiltración de datos y el acceso remoto. Por su parte, Stealc está diseñado para robar credenciales de aplicaciones, cookies y datos de criptomonedas de las computadoras infectadas.
Un aspecto crucial de esta operación fue la reducción de la fragmentación en la infraestructura de red de los cibercriminales. ESET utilizó sus herramientas automatizadas para analizar y agrupar muestras, haciendo hincapié en los métodos de distribución y la estructura del ecosistema de software malicioso.
Amadey y Stealc se distribuyen a través de canales que van desde actualizaciones de software falsas hasta cargadores de malware de terceros. ESET ha recopilado datos que muestran que Amadey opera bajo un modelo de «pago por reconstrucción», donde los afiliados deben pagar cada vez que generan una nueva versión del malware. En cambio, Stealc ofrece una modelo más accesible para los afiliados, permitiendo la generación ilimitada de versiones por una tarifa mensual.
A medida que la operación se desarrolló, ESET y sus socios identificaron clusters de actividad y servidores que permitieron desmantelar eficazmente la infraestructura cibercriminal. La colaboración con las fuerzas del orden fue esencial para garantizar que las interrupciones tuvieran un impacto significativo en el panorama de amenazas.
En conclusión, la Operación Endgame representa un esfuerzo concertado para reducir la actividad cibercriminal relacionada con Amadey y Stealc, y ESET continuará monitoreando ambos malware para detectar cualquier intento de restaurar sus infraestructuras tras este golpe.
Fuente: WeLiveSecurity by eSet.
