Amadey en StealC Malware-netwerk verstoord, 27 miljoen gestolen inloggegevens hersteld

Cyberbeveiliging
Amadey and StealC Malware

Een gecoördineerde wetshandhavingsoperatie, in samenwerking met bedrijven uit de particuliere sector, waaronder Bitdefender, Bitsight, ESET en Microsoft, heeft geresulteerd in het uitschakelen van de criminele infrastructuur die Amadey en StealC aandrijft.

“Het belangrijkste gemeenschappelijke doel was het ontwrichten van de ‘lopende lijnen’ die cybercriminelen gebruiken om ransomware, financiële fraude en aanvallen op kritieke infrastructuur te lanceren”, aldus Europol in een verklaring.

De ontwikkeling komt dagen nadat autoriteiten uit Nederland, Canada, Duitsland en de VS de kwaadaardige infrastructuur geassocieerd met SocGholish hebben verstoord en bijna 15.000 geïnfecteerde WordPress-websites hebben opgeruimd.

Als onderdeel van de twee weken durende actie zijn cryptocurrency-activa van criminele oorsprong met een waarde van meer dan $47 miljoen geïdentificeerd, gemarkeerd en verboden voor gebruik. Daarnaast zijn maar liefst 27 miljoen gestolen inloggegevens teruggevonden en is het malwaredistributienetwerk gehinderd door het ontmantelen van 326 servers en 142 domeinen.

“Deze verwijdering is een krachtige demonstratie van wat samenwerking tussen de publieke en de private sector kan bereiken bij het ontmantelen van de infrastructuur die cybercriminaliteit op grote schaal mogelijk maakt”, zegt Alex Cosoi, hoofdveiligheidsstrateeg bij Bitdefender, in een verklaring. “Het zendt ook een duidelijke boodschap uit naar degenen achter malware-ecosystemen: hoe geavanceerd de tools of hoe gedistribueerd het netwerk ook zijn, gecoördineerde internationale actie zal ze vinden.”

Het is bekend dat alle drie de malwarefamilies worden geadverteerd onder een Malware-as-a-Service (MaaS)-model, waardoor klanten extra payloads kunnen leveren of gevoelige informatie kunnen stelen van gecompromitteerde hosts.

SocGholish en Amadey fungeren als laders voor de introductie van malware in de volgende fase, waarbij de malware voornamelijk wordt verspreid via respectievelijk gecompromitteerde WordPress-sites en phishing-campagnes. Amadey is ook verspreid via andere laders zoals Emmenhtal en SmokeLoader.

Het is een op C++ gebaseerde modulaire achterdeur, waarvan bekend is dat deze actief is sinds oktober 2018 en wordt geadverteerd door een bedreigingsacteur die bekend staat als InCrease. De service kost $600 voor een enkele licentie, met een extra $50 per herbouw. De nieuwste versie van Amadey is 5.87. Enkele van de ondersteunde opdrachten worden hieronder vermeld:

  • Maak een vingerafdruk van de machine
  • Downloadt bestanden, DLL’s, MSI- of PowerShell-scripts
  • Voer opdrachten uit met “cmd.exe”
  • Maak schermafbeeldingen
  • Breng een SOCKS-proxy voort
  • Open een VNC- of reverse proxy-sessie
  • Leg de inhoud en inloggegevens van het klembord vast
  • Schakel RDP in

Volgens gegevens gepubliceerd door Mitsui Bussan Secure Directions schommelde het dagelijkse aantal actieve Amadey command-and-control (C2 of C&C) servers tot ongeveer september 2022 grofweg tussen de twee en achttien.

“Van januari 2023 tot begin december 2023 steeg dit cijfer echter tot tussen de 5 en 30, wat erop wijst dat Amadey op grote schaal werd gebruikt”, aldus het Japanse cyberbeveiligingsbedrijf. “In 2024, na een korte rustperiode, daalde het dagelijkse aantal geleidelijk vanaf een piek van 17 en is het tot op de dag van vandaag blijven dalen.”

Het aantal malware-samples dat via Amadey wordt verspreid, zou in 2025 een hoogtepunt hebben bereikt van 11.635, tegen 66 in 2019, 260 in 2020, 1.231 in 2021, 3.500 in 2022, 8.360 in 2023 en 7.619 in 2024. Sinds het begin van het jaar is Er zijn 1.837 payloads verspreid via de malwareloader.

StealC daarentegen heeft gebruik gemaakt van verschillende initiële toegangsvectoren, variërend van malware-laders (waaronder Amadey) en ClickFix-lokmiddelen, en is uitgerust om gevoelige informatie te extraheren, zoals schermafbeeldingen, inloggegevens, sessiecookies, gegevens voor automatisch aanvullen, creditcardgegevens, browsegeschiedenis en extensiegegevens.

De malware dook voor het eerst in het wild op in januari 2023 en werd voor $300 per maand (of $1.000 voor zes maanden) verkocht door een bedreigingsacteur die de naam ‘plymouth’ gebruikte. Net als Amadey wordt StealC actief onderhouden door zijn operators. Vanaf juni 2026 is de nieuwste versie van de stealer 2.2.1. De hoogste infectieconcentraties zijn gemeld in de VS, Polen en Italië.

De malware richt zich niet alleen op Chromium-browsers, maar verzamelt ook gegevens van desktopapplicaties zoals Discord, FileZilla, Foxmail, Microsoft Outlook, Steam en Telegram, evenals bestanden die overeenkomen met bepaalde naampatronen. Het fungeert ook als een secundaire lader, die EXE-, MSI- of PowerShell-payloads kan downloaden en uitvoeren op basis van opdrachten van een externe server.

Een opmerkelijk aspect van de stealer, geschreven in C++, is de mogelijkheid om de standaardtaal van het systeem op te vragen en zichzelf te beëindigen als de landinstelling overeenkomt met landen als Rusland, Oekraïne, Wit-Rusland, Kazachstan of Oezbekistan. Amadey beschikt ook over een soortgelijke controle om bepaalde functionaliteiten over te slaan, zoals het stelen van inloggegevens en het stelen van het klembord wanneer het op een Russische, Oekraïense of Wit-Russische host draait.

Eerder deze januari onthulde CyberArk een cross-site scripting (XSS) kwetsbaarheid in het webgebaseerde controlepaneel van de StealC-operators die het mogelijk maakte om inzicht te krijgen in de MaaS-operatie, waaronder een van zijn klanten genaamd YouTubeTA, die vertrouwde op het videodeelplatform van Google om de stealer te verspreiden door reclame te maken voor gekraakte versies van Adobe Photoshop en Adobe After Effects.

IBM X-Force en Proofpoint merkten ook op dat er meerdere beveiligingsfouten werden geïdentificeerd in het C2-paneel, waaronder een bug in directory traversal die het mogelijk maakte om een ​​webshell naar de StealC C2-server te uploaden. Het probleem werd in februari 2026 door StealC-ontwikkelaars verholpen, maar niet voordat het waarschijnlijk door een aangesloten onderneming werd uitgebuit om gegevens van andere aangesloten partijen te stelen.

“In beide ecosystemen ontvangen aangesloten bedrijven een zelfgehost beheerpaneel dat op hun eigen serverinfrastructuur moet worden geïmplementeerd”, aldus ESET-onderzoekers Jakub Tomanek en Tomáš Procházka. “Amadey gebruikte een pay-per-rebuild-model. Affiliates kochten een licentie en betaalden vervolgens een extra vergoeding elke keer dat ze een nieuwe build moesten genereren, bijvoorbeeld wanneer ze overstapten naar een nieuwe C&C-server.”

“StealC koos voor een meer affiliate-vriendelijke aanpak en bood onbeperkte build-generatie aan als onderdeel van zijn abonnement. Dit verlaagde de operationele kosten van het roteren van de C&C-infrastructuur en maakte het gemakkelijker voor affiliates om indien nodig nieuwe samples te genereren.”

In totaal bevinden zich 53 unieke clusters binnen het Amadey-ecosysteem, waarbij het grootste botnetcluster payloads distribueert zoals Lumma Stealer, Vidar Stealer, StealC, Rugmi, PureCrypter, Agent Tesla, Rhadmanthys Stealer, RedLine Stealer, SmokeLoader, XWorm en AsyncRAT.

Microsoft heeft onthuld dat Amadey en StealC niet alleen dezelfde infrastructuur gebruiken, maar dat de malwarefamilies in de eerste twee weken van mei 2026 wereldwijd zijn gekoppeld aan meer dan 140.000 geïnfecteerde computers. De technologiegigant zei dat het meer dan 18.000 slachtoffercomputers heeft geïdentificeerd en de criminele controle over die apparaten heeft verbroken.

In totaal zei de technologiegigant dat het 200 kwaadaardige Amadey- en StealC C2-domeinen en IP-adressen heeft gemarkeerd, die sindsdien allemaal zijn afgesloten met behulp van een combinatie van rechterlijke bevelen, domeinbeslag, registraties en meldingen van providers.

“Loaders en stealers zijn de twee helften van de commodity-malwarepijplijn”, aldus Bitsight. “Een lader krijgt de eerste voet aan de grond en verhuurt deze; een dief maakt gebruik van die voet aan de grond om inloggegevens, cookies en portemonnees te verzamelen, om deze vervolgens te verkopen op ondergrondse forums (waaronder Telegram).”

De laatste poging, die plaatsvond tussen 15 en 19 juni 2026, markeert het nieuwste hoofdstuk van Operatie Endgame. Er waren gerechtelijke autoriteiten en rechtshandhavingsinstanties uit België, Canada, Denemarken, Frankrijk, Duitsland, Nederland, Groot-Brittannië en de VS bij betrokken

“Operatie Endgame richt zich op de initiële toegang tot malware die wordt gebruikt om apparaten te infecteren”, aldus Eurojust. “Cybercriminelen gebruiken deze malware als toegangspoort om stilletjes de systemen van slachtoffers te infiltreren en gevoelige gegevens te stelen. Door de eerste fase van de aanvalsketen te bestrijden, raakt de operatie de kern van het hele ‘cybercrime-as-a-service’-ecosysteem.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Cordyceps CI/CD-fouten stellen meer dan 300 GitHub-opslagplaatsen bloot aan supply chain-aanvallen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]