Operação Endgame: Derrubada Infostealers StealC e Amadey

Em uma operação internacional sem precedentes, agências policiais lideradas pela Europol e pela Polícia Nacional Holandesa desmantelaram a infraestrutura por trás de duas famílias prolíficas de infostealers: StealC e Amadey. Anunciado em 24 de junho de 2026, como parte da Operação Endgame, a ação resultou na apreensão de mais de 100 servidores e domínios criminosos, na recuperação de mais de 24 milhões de credenciais roubadas e no congelamento de aproximadamente €41 milhões (US$ 46,5 milhões) em criptomoedas. Esta operação representa um dos maiores golpes contra o ecossistema de malware-as-a-service (MaaS) que alimenta ransomware, roubo de identidade e invasões de redes corporativas em todo o mundo.

O que são infostealers e por que são importantes?

Infostealers são malwares que extraem dados sensíveis de computadores infectados, como senhas, cookies, chaves de carteiras de criptomoedas e informações do sistema. Eles são frequentemente o primeiro elo em ataques cibernéticos, fornecendo credenciais para invadir redes corporativas, implantar ransomware ou cometer fraudes. StealC e Amadey operam sob o modelo malware-as-a-service (MaaS), permitindo que criminosos de baixa qualificação comprem acesso e iniciem ataques. O aumento dos ataques de ransomware nos últimos anos está diretamente ligado à proliferação desses infostealers.

A operação: um ataque global coordenado

Escopo e parceiros

A Operação Endgame é a maior colaboração internacional já montada contra ransomware e infraestrutura cibercriminosa. Esta fase, liderada pela Unidade Holandesa de Crimes de Alta Tecnologia (Team High Tech Crime) e pelo Serviço de Ministério Público Holandês, contou com agências da Alemanha, Dinamarca, Reino Unido, Estados Unidos, Europol, Eurojust e parceiros privados como a Microsoft.

O que foi apreendido

Mais de 100 servidores e domínios criminosos foram neutralizados, revelando mais de 24 milhões de credenciais roubadas de pelo menos 384.000 sistemas comprometidos, afetando mais de 1,5 milhão de serviços online. Além disso, aproximadamente €41 milhões em criptomoedas foram congelados. O cenário global de regulamentação de criptomoedas tem dificultado a lavagem desses lucros.

StealC e Amadey: uma visão detalhada

StealC: o infostealer MaaS

Anunciado em fóruns clandestinos russos em 2023 pelo desenvolvedor Plymouth, o StealC é um sofisticado infostealer vendido como serviço. Ele rouba credenciais de navegadores (Chrome, Firefox, Edge, Opera), cookies, dados de preenchimento automático, carteiras de criptomoedas e tokens de mensageiros como Discord e Telegram. Utiliza técnicas avançadas de antianálise, como criptografia RC4, empacotamento Themida e verificações anti-VM. Em dezembro de 2025, sua versão V2 era vendida por $300/mês, com capacidades adicionais como descriptografia de tokens Steam e suporte ao navegador Perplexity Comet.

Amadey: o loader modular

Ativo desde outubro de 2018, o Amadey (conhecido como Amadey Bot) é um backdoor modular para Windows que serve como mecanismo de entrega para outros malwares, como ransomware, miners de criptomoedas e trojans de acesso remoto (RATs). É distribuído via phishing, URLs maliciosas e kits de exploração. Em maio de 2026, StealC e Amadey foram associados a mais de 140.000 computadores infectados no mundo todo, destacando a urgência da operação.

Impacto no cibercrime e recomendações para vítimas

A interrupção dessas redes deve ter um impacto significativo na cadeia de suprimentos do cibercrime, especialmente para operadores de ransomware que dependem de credenciais roubadas. No entanto, especialistas alertam que o ecossistema MaaS é resiliente e novas variantes podem surgir. O impacto da queda das criptomoedas em 2025 já reformulou a monetização de dados roubados, tornando o roubo de credenciais ainda mais valioso.

Indivíduos que suspeitem ter sido infectados devem agir imediatamente. A polícia holandesa criou o site politie.nl/checkjehack, onde é possível verificar se as credenciais estão nos dados recuperados. Recomenda-se alterar senhas de todas as contas acessadas pelo dispositivo infectado, habilitar autenticação de dois fatores e executar uma verificação antivírus completa.

FAQ

O que é um infostealer?

É um malware que varre secretamente o computador da vítima em busca de dados sensíveis, como credenciais de login e chaves de criptomoedas, e os envia a um atacante remoto.

Como StealC e Amadey infectam computadores?

Geralmente são distribuídos por e-mails de phishing, downloads maliciosos (software pirata, mods de jogos), malvertising e sites envenenados por SEO. O Amadey atua como um loader que pode entregar o StealC ou outros malwares.

Quantas credenciais foram recuperadas na Operação Endgame?

Mais de 24 milhões de credenciais roubadas foram recuperadas dos servidores apreendidos, além de 27 milhões segundo outras fontes, afetando mais de 384.000 sistemas e 1,5 milhão de serviços.

O que devo fazer se achar que sou uma vítima?

Altere as senhas de todas as contas usadas no dispositivo potencialmente infectado, habilite a autenticação de dois fatores, execute uma verificação antivírus confiável e verifique suas credenciais em politie.nl/checkjehack.

A Operação Endgame ainda está em andamento?

Sim, a Operação Endgame começou em 2024 e é um esforço internacional contínuo para desmantelar infraestruturas de ransomware e cibercrime. Fases anteriores já alvejaram SocGholish e outras redes de malware.

Fontes

• Polícia Nacional Holandesa – Comunicado Oficial
• Europol – Ataque Cibernético Global Desarticula Redes de Malware
• Blog de Segurança Microsoft – Analisando Infostealers
• The Hacker News – Rede de Malware Amadey e StealC Desarticulada