ESET sa zapojil do globálnej operácie Endgame, pomohol oslabiť biznis s malvérom
- ESET sa zapojil do koordinovanej globálnej operácie zameranej na narušenie malvérov Amadey a Stealc.
- Cieľom operácie bolo prevziať alebo znefunkčniť všetky známe riadiace (C&C) servery malvérov Amadey a Stealc, čím sa priamo narušila infraštruktúra, na ktorú sa spoliehali používatelia oboch ponúk typu MaaS.
- Výskumníci spoločnosti ESET poskytli technickú analýzu, štatistické informácie, údaje o známych riadiacich (C&C) serveroch, šifrovacie kľúče, identifikátory kampaní a ďalšie odborné poznatky.
- ESET pripravil prehľad ekosystému MaaS na úrovni používateľov oboch malvérových rodín.
Výskumníci spoločnosti ESET prispeli k narušeniu botnetu Amadey a infostealeru Stealc poskytnutím technickej analýzy, sledovaním infraštruktúry a poznatkov o kyberzločincoch, ktorí ich využívali. Oba malvéry fungujú v rámci modelu malvér ako služba (Malware as a Service - MaaS). Operácia – koordinovaná jednotkou Microsoft Digital Crimes Unit (DCU), spoločnosťami BitSight, Lumen a Mitsui Bussan Secure Directions (MBSD) – sa zamerala na všetku známu sieťovú infraštruktúru využívanú používateľmi malvérov Amadey a Stealc s cieľom ochromiť ich kyberzločinecké operácie. Európske centrum boja proti počítačovej kriminalite Europolu (EC3) zároveň spolu s európskymi partnermi z oblasti orgánov činných v trestnom konaní vrátane nemeckého Spolkového kriminálneho úradu a holandskej aj dánskej národnej polície vyšetrovalo Stealc v rámci operácie Endgame, a to spolu so spoločnosťami IBM a Proofpoint.
Miera detekcií v telemetrii spoločnosti ESET naznačuje, že botnet Amadey bol pozorovaný globálne bez špecifického regionálneho zamerania. Najvyššie miery detekcií boli zaznamenané v Indii, Turecku, Egypte, Mexiku a Španielsku. Aj infostealer Stealc bol distribuovaný globálne bez špecifického regionálneho zamerania. Najvyššie miery detekcií boli zaznamenané v Spojených štátoch, Poľsku a Taliansku.
ESET prispel k narušeniu škodlivých MaaS služieb poskytnutím technickej analýzy, štatistických informácií, údajov o známych riadiacich (C&C) serveroch, šifrovacích kľúčov, identifikátorov kampaní a zostáv, ako aj ďalších informácií o hrozbách získaných počas dlhodobého sledovania oboch malvérových rodín.
„ESET sleduje botnet Amadey aj infostealer Stealc posledné tri roky. Pre potreby operácie zameranej na ich narušenie sme zdieľali štatistiky pokrývajúce obdobie od štvrtého štvrťroka 2025 do prvého polroka 2026, spolu s technickými indikátormi a konfiguračnými dátami extrahovanými zo spracovaných vzoriek malvéru,“ vysvetľuje výskumník spoločnosti ESET Jakub Tomanek, ktorý sa podieľal na operácii s cieľom narušenia malvérov Amadey a Stealc. „Naše automatizované systémy analyzovali vzorky Amadey a Stealc a identifikovali polia najrelevantnejšie pre sledovanie vo veľkom rozsahu. Patrili medzi ne riadiace (C&C) servery, identifikátory zostáv, šifrovacie kľúče, URL adresy, identifikátory kampaní a ďalšie hodnoty používané týmito malvérovými rodinami pri komunikácii s infraštruktúrou ovládanou útočníkmi,“ dodáva.
Zdieľanie týchto informácií umožnilo orgánom činným v trestnom konaní identifikovať a prioritizovať infraštruktúru útočníkov s vysokou mierou istoty a následne proti nej podniknúť kroky.
Biznis na dark webe
Amadey je modulárny malvér typu loader. Jeho hlavným účelom je distribuovať ďalší škodlivý kód do kompromitovaných systémov, pričom ponúka aj moduly na exfiltráciu dát a získanie vzdialeného prístupu. Stealc je naopak typickým infostealerom, ktorý jeho autori ponúkajú ďalším útočníkom vo forme služby. Zameriava sa na prihlasovacie údaje, súbory cookies, kryptomenové peňaženky, rozšírenia prehliadačov a ďalšie súbory, ktoré si útočníci určia.
Autori oboch rodín malvéru ich ponúkajú ako službu a propagujú na darknetových fórach. V oboch ekosystémoch získavajú záujemcovia o tieto služby administratívny panel, ktorý si majú nasadiť v rámci vlastnej serverovej infraštruktúry. To si od nich vyžaduje určitú mieru technických zručností a zároveň im to poskytuje priamu kontrolu nad dátami obetí a distribúciou malvéru.
O tom, akou metódou budú malvér šíriť, rozhodujú jednotliví používatelia služby. Dáta spoločnosti ESET konzistentne poukazujú na to, že oba škodlivé kódy boli distribuované cez širokú škálu kanálov. Najčastejšími spôsobmi šírenia boli falošné aktualizácie softvéru, inštalátory cracknutých programov a škodlivé loadery tretích strán.
Malvér za príplatok alebo ako predplatné
Botnet Amadey fungoval tak, že si používatelia služby zakúpili licenciu a následne platili ďalší poplatok pri každom vytvorení novej verzie malvéru, napríklad pri prechode na nový riadiaci server. Jeho prevádzkovatelia teda neposkytovali používateľom služby nástroj na tvorbu nových verzií malvéru. Vzorky škodlivého kódu boli na požiadanie kompilované osobitne pre každého používateľa služby. Služba ponúka tri moduly na ďalšiu exfiltráciu dát a získanie prístupu: modul na sledovanie schránky, modul na krádež prihlasovacích údajov a modul vzdialeného prístupu. Cena služby je 600 USD v bitcoinoch za jednu licenciu, pričom za každú novú verziu malvéru sa účtuje ďalších 50 USD.
Prevádzkovatelia infostealeru Stealc zvolili voči používateľom služby ústretovejší prístup a v rámci predplatného ponúkali neobmedzené generovanie verzií malvéru. To znižovalo prevádzkové náklady spojené s obmenou infraštruktúry a používateľom služby uľahčovalo vytváranie nových vzoriek podľa potreby. Infostealer sa zameriava na širokú škálu zdrojov dát vrátane prihlasovacích údajov uložených vo webových prehliadačoch, e-mailových klientoch, FTP klientoch, herných platformách, súborov kryptomenových peňaženiek a rozšírení prehliadačov. Stealc sa predáva vo forme predplatného, pričom najlacnejší variant stojí 1 000 USD na šesť mesiacov.
ESET bude naďalej monitorovať obe rodiny a sledovať akékoľvek pokusy o obnovenie operačnej infraštruktúry po jej narušení.
Podrobnejšiu technickú analýzu nájdete v najnovšom blogu na WeLiveSecurity. Aby ste nezmeškali najnovšie zistenia výskumníkov spoločnosti ESET, sledujte ich na sieťach X (niekdajší Twitter), BlueSky a Mastodon.
O spoločnosti ESET
ESET® je popredným európskym poskytovateľom riešení v oblasti kybernetickej bezpečnosti s pobočkami po celom svete. Poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a X.