Nei giorni scorsi una nuova fase dell'Operazione Endgame ha smantellato l'infrastruttura di due fra le piattaforme di malware-as-a-service pi� diffuse, il loader Amadey e l'infostealer StealC. Il bilancio parla di 326 server e 142 domini dismessi, circa 27 milioni di credenziali rubate recuperate e attorno a 47 milioni di dollari in criptovalute di origine criminale bloccati. L'azione si � svolta tra il 15 e il 19 giugno e ha coinvolto Europol, Eurojust e le autorit� di Canada, Danimarca, Germania, Paesi Bassi, Regno Unito e Stati Uniti, affiancate da un'ampia coalizione di partner privati. L'elemento che distingue questa tornata riguarda il modo in cui Amadey e StealC sono stati colpiti insieme. Microsoft, attraverso la sua Digital Crimes Unit, ha raccontato di aver analizzato i binari delle due famiglie ricorrendo all'intelligenza artificiale, incluso Copilot, e di aver scoperto che pur essendo sviluppate da gruppi distinti condividevano la stessa infrastruttura. Come spiega l'azienda, gli investigatori hanno potuto interrogare il codice ponendo domande in linguaggio naturale invece di passarlo al setaccio manualmente. Su questa base Microsoft dichiara di aver applicato per la prima volta il RICO statute, la legge statunitense contro la criminalit� organizzata, per trattare le due operazioni come un'unica cospirazione e colpirne le infrastrutture con una sola azione legale. Due ingranaggi della stessa catena Amadey e StealC svolgono ruoli complementari nel mercato del crimine informatico. Il primo � un loader pensato per ottenere l'accesso iniziale ai sistemi e consegnare payload aggiuntivi; il secondo � un infostealer che sottrae credenziali, cookie di sessione, wallet di criptovalute e dati dei browser. Nelle prime due settimane di maggio le due famiglie risultavano collegate a oltre 140.000 computer infetti nel mondo, mentre le credenziali recuperate provengono da pi� di 385.000 sistemi compromessi. Amadey � in circolazione dall'ottobre 2018: viene venduto da un attore noto come InCrease a 600 dollari per licenza, con 50 dollari aggiuntivi per ogni rebuild, ed � arrivato alla versione 5.87. StealC � comparso a gennaio 2023, proposto dall'attore noto come plymouth a 300 dollari al mese o 1.000 dollari per sei mesi, con generazione illimitata di build, ed � oggi alla versione 2.2.1. Entrambi i malware controllano la localizzazione del sistema preso di mira: StealC si auto-termina se rileva impostazioni russe, ucraine, bielorusse, kazake o uzbeke, mentre Amadey salta alcune funzionalit� sugli stessi host. Le concentrazioni pi� alte di infezioni da StealC sono state rilevate negli Stati Uniti, in Polonia e in Italia. Il lavoro dei partner privati Sul fronte tecnico ESET ha colpito una cinquantina di domini e quasi 200 server di comando e controllo attivi delle due famiglie. IBM X-Force e Proofpoint hanno invece sviluppato un emulatore di StealC per tracciarne operazioni e infrastruttura, individuando vulnerabilit� nel pannello di comando e controllo del malware, tra cui una directory traversal che consentiva di caricare una web shell: falle poi sfruttate anche dalle forze dell'ordine durante l'operazione. La stessa Digital Crimes Unit di Microsoft ha colpito oltre 200 fra domini e indirizzi IP usati come C2 e ha individuato pi� di 18.000 computer vittime, rimuovendo il controllo criminale sui dispositivi. Un'analisi tecnica pi� estesa � disponibile in un approfondimento dedicato di Microsoft. La portata del problema va oltre la criminalit� a scopo di lucro. Microsoft riferisce di aver osservato l'attore russo Secret Blizzard sfruttare le infezioni di Amadey per distribuire malware su misura contro obiettivi in Ucraina, segno di come questi servizi alimentino anche operazioni di matrice statale. L'obiettivo dichiarato da Europol era del resto colpire le catene di montaggio usate dai cybercriminali per lanciare ransomware, frodi finanziarie e attacchi alle infrastrutture critiche. Amadey e StealC si aggiungono cos� alla lista di famiglie gi� colpite da Operation Endgame, che in passato aveva smantellato tra le altre DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium e SmokeLoader. A maggio del 2024 una prima fase dell'Operation Endgame aveva messo in ginocchio una delle botnet pi� vaste usate per la distribuzione di malware.