Europol объявил о новой волне операции Endgame: правоохранители из нескольких стран заморозили более 41 млн евро (около $47 млн) в криминальных криптоактивах и уничтожили инфраструктуру трёх вредоносных программ. По сообщению ведомства от 25 июня 2026 года, удар пришёлся на SocGholish, Amadey и StealC, которые вместе образовывали автоматизированный конвейер для массовой кражи паролей, данных браузеров и доступа к криптокошелькам. Операция затронула более 385 000 заражённых компьютеров в разных странах.
Что уничтожила операция
Двухнедельная правоохранительная операция завершилась ликвидацией 326 серверов и 142 доменов. С заражённых систем извлекли почти 27 миллионов похищенных учётных записей. Параллельно очистили около 15 000 заражённых веб-сайтов, большинство из которых принадлежало малому бизнесу и не знало о заражении.
Предыдущая фаза операции Endgame в конце 2025 года обнаружила данные для входа в более чем 100 000 криптокошельков. На тот момент они ещё не были опустошены. Текущая фаза пошла дальше: Europol впервые заморозил крупный массив криптоактивов, накопленных через эти схемы. Заморозка означает, что средства недоступны для дальнейшего перемещения или отмывания.
Техническую координацию операции обеспечили Microsoft и исследовательская компания Proofpoint. Microsoft дополнительно подала гражданский иск, что позволило одновременно вести уголовное и гражданское преследование. Предыдущие фазы Endgame уже нарушили работу нескольких крупных ботнетных сетей в 2024 и 2025 годах.
Как три программы атаковали криптокошельки
SocGholish, Amadey и StealC выполняли разные функции в одной цепочке атаки. SocGholish была точкой входа: она распространялась через поддельные уведомления об обновлении браузера, появлявшиеся на взломанных легитимных сайтах. Жертва видела привычное диалоговое окно и ничего не подозревала.
Amadey перехватывала управление после первоначального заражения и загружала дополнительные компоненты атаки. StealC, доступная как сервис с 2023 года, собирала пароли, куки браузеров и файлы MetaMask прямо с диска жертвы. Исследователи Proofpoint обнаружили в панели управления StealC отдельный плагин для расшифровки сид-фраз кошельков. Такой доступ давал злоумышленнику полный контроль над всеми активами жертвы без дополнительных действий.
- SocGholish распространяется через поддельные обновления браузера на взломанных сайтах
- Amadey формирует плацдарм и загружает дополнительные компоненты атаки
- StealC собирает пароли и файлы кошельков, с 2023 года доступна как платная услуга
Три программы вместе образовывали готовую модель "cybercrime-as-a-service". Любой мог арендовать StealC и воспользоваться готовой инфраструктурой без глубоких технических знаний.
Microsoft, Copilot и первый иск RICO против двух малварных семей
Microsoft выступила активным участником операции. Компания применила AI-инструменты, в том числе Copilot, для анализа кода вредоносных программ. Анализ показал неожиданное: Amadey и StealC, несмотря на разных разработчиков, использовали общую командную инфраструктуру.
Этот факт открыл правовую возможность. Microsoft подала иск по закону RICO, впервые применив его одновременно против двух отдельных малварных семей. Раньше этот закон о рэкете использовали против единой организации. Теперь суд должен признать Amadey и StealC частями одного преступного предприятия, что позволит привлечь к ответственности более широкий круг участников. Закон RICO, принятый в 1970 году, допускает преследование всех членов организованной преступной структуры, включая тех, кто напрямую не совершал конкретный проступок.
До завершения операции Microsoft зафиксировала масштаб заражений. Только за первые две недели мая 2026 года эти программы инфицировали более 140 000 компьютеров по всему миру. После подачи иска компания идентифицировала ещё 18 000 жертв и заблокировала более 200 командных серверов.
Риски для владельцев криптовалюты
Инфостилеры стали одним из главных методов кражи криптовалюты. Они не атакуют блокчейн и не ломают защиту бирж. Вместо этого тихо считывают файлы криптокошельков, приватные ключи и сид-фразы прямо с устройства жертвы, пока та ничего не подозревает.
Векторы заражения постоянно меняются. Злоумышленники распространяют инфостилеры через поддельные AI-инструменты, модификации для Steam и пиратский игровой контент. Жертва сама устанавливает программу, считая её легитимным приложением. Особую угрозу несут фейковые AI-инструменты, продвигаемые через платную рекламу под видом генераторов изображений или переводчиков.
Операция Endgame демонтировала текущую инфраструктуру трёх конкретных семей. Но модель "малвар-как-сервис" никуда не исчезла. Новые аналоги будут появляться, пока спрос на такие услуги сохраняется. Для владельцев криптовалюты практический вывод прост: сид-фраза не должна храниться в браузере, текстовом файле или облачном хранилище. Офлайн-носитель или аппаратный кошелёк остаются наиболее надёжной защитой от этого типа атак.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *