Europol оголосив про нову хвилю операції Endgame: правоохоронці з кількох країн заморозили понад 41 млн євро (близько $47 млн) у кримінальних криптоактивах і зруйнували інфраструктуру трьох шкідливих програм. За повідомленням агентства від 25 червня 2026 року, удар прийшовся на SocGholish, Amadey та StealC, які разом утворювали автоматизований конвеєр для масової крадіжки паролів, даних браузера та доступу до криптогаманців. Операція торкнулась понад 385 000 заражених комп'ютерів у різних країнах.
Що знищила операція
Дворижнева правоохоронна операція завершилась ліквідацією 326 серверів і 142 доменів. З інфікованих систем вилучили майже 27 мільйонів вкрадених облікових записів. Паралельно очистили близько 15 000 заражених вебсайтів, більшість з яких належала малому бізнесу і не підозрювала про зараження.
Попередня фаза операції Endgame, яка тривала наприкінці 2025 року, виявила дані для входу до понад 100 000 криптогаманців. На той момент вони ще не були спустошені. Поточна фаза пішла далі: Europol вперше заморозив великий масив криптоактивів, накопичених через ці схеми. Заморозка означає, що кошти недоступні для подальшого переміщення або відмивання.
Технічну координацію операції забезпечили Microsoft і дослідницька компанія Proofpoint. Microsoft додатково подала власний цивільний позов, що дозволило одночасно вести кримінальне і цивільне переслідування. Попередні фази Endgame вже порушили діяльність кількох великих ботнетних мереж у 2024 та 2025 роках.
Як три програми атакували криптогаманці
SocGholish, Amadey та StealC виконували різні функції в одному ланцюжку атаки. SocGholish була точкою входу: вона поширювалась через підроблені сповіщення про оновлення браузера, що з'являлись на зламаних легітимних сайтах. Жертва бачила звичне діалогове вікно і нічого не підозрювала.
Amadey приймала управління після першого зараження і завантажувала додаткові компоненти атаки. StealC, що продається як сервіс із 2023 року, збирала паролі, кукі браузерів та файли MetaMask безпосередньо з диска жертви. Дослідники Proofpoint виявили в панелі управління StealC окремий плагін для розшифрування сид-фраз гаманців. Такий доступ давав зловмисникові повний контроль над усіма активами жертви без додаткових кроків.
- SocGholish поширюється через підроблені оновлення браузера на зламаних сайтах
- Amadey формує плацдарм і завантажує додаткові компоненти атаки
- StealC збирає паролі та файли гаманців, з 2023 року доступна як платна послуга
Три програми разом утворювали готову модель "cybercrime-as-a-service". Будь-хто міг орендувати StealC і скористатись готовою інфраструктурою без глибоких технічних знань.
Microsoft, Copilot і перший позов RICO проти двох малварних родин
Microsoft виступила активним учасником операції. Компанія застосувала AI-інструменти, у тому числі Copilot, для аналізу коду шкідливих програм. Аналіз показав несподіване: Amadey та StealC, попри різних розробників, спиралися на спільну командну інфраструктуру.
Ця деталь відкрила юридичну можливість. Microsoft подала позов за законом RICO, вперше застосувавши його одночасно проти двох окремих малварних родин. Раніше цей закон про рекет використовували проти єдиної організації. Тепер суд має визнати Amadey та StealC частинами одного злочинного підприємства, що дозволить притягнути до відповідальності ширше коло учасників по всьому ланцюжку. Закон RICO, прийнятий у 1970 році, дозволяє переслідувати всіх членів організованої злочинної структури, навіть тих, хто безпосередньо не здійснював конкретний злочин.
Ще до завершення операції Microsoft зафіксувала масштаб ураження. Лише за перші два тижні травня 2026 року ці програми інфікували понад 140 000 комп'ютерів у всьому світі. Після подачі позову компанія ідентифікувала ще 18 000 жертв і заблокувала більш ніж 200 командних серверів.
Ризики для власників криптовалюти
Інфостилери перетворились на один із головних методів крадіжки криптовалюти. Вони не атакують блокчейн і не ламають захист бірж. Натомість тихо зчитують файли криптогаманців, приватні ключі та сид-фрази прямо з пристрою жертви, поки та нічого не підозрює.
Вектори зараження постійно змінюються. Зловмисники розповсюджують інфостилери через підроблені AI-інструменти, модифікації для Steam і піратський ігровий контент. Жертва сама встановлює програму, вважаючи її легітимним застосунком. Особливу загрозу несуть фейкові AI-інструменти, що просуваються через платну рекламу під виглядом генераторів зображень або перекладачів.
Операція Endgame демонтувала поточну інфраструктуру трьох конкретних родин. Але модель "малвар-як-сервіс" нікуди не зникла. Нові аналоги з'являтимуться, поки попит на такі послуги залишається. Для власників криптовалюти практичний висновок простий: сид-фраза не повинна зберігатись у браузері, текстовому файлі або хмарному сховищі. Офлайн-носій чи апаратний гаманець залишаються найнадійнішим захистом від цього типу атак.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *