A Operação Endgame, liderada pela Europol e pela Microsoft, derrubou 326 servidores e 142 domínios utilizados pelos malwares Amadey e StealC. Foram recuperados 41 milhões de euros em criptomoedas e 27 milhões de credenciais roubadas de mais de 385 mil dispositivos. Essa ação é a mais recente fase de uma operação internacional contra o crime cibernético como serviço.
Amadey e StealC explicados
Amadey é um botnet que funciona como porta de entrada para redes corporativas e domésticas. Gangues de ransomware e grupos patrocinados por Estados o utilizam para estabelecer o primeiro ponto de acesso a sistemas comprometidos, de onde outros malwares são implantados em cascata. Já o StealC é um infostealer que exfiltra senhas de navegadores, carteiras de criptomoedas, cookies de sessão e dados bancários. Os dois operam no modelo de malware como serviço (MaaS), onde qualquer criminoso paga uma assinatura para ter acesso ao código, painéis de controle e infraestrutura de comando prontos para uso.
A lógica do modelo MaaS é simples: quem constrói o malware não precisa saber invadir redes. E quem invade redes não precisa saber programar. A separação de competências profissionalizou o crime cibernético e barateou o custo de entrada. O StealC, em particular, se tornou um dos infostealers mais comercializados em fóruns clandestinos nos últimos doze meses, com preços que variam de US$ 50 a US$ 200 por mês de acesso.
Números da operação
| Métrica | Resultado |
|---|---|
| Servidores derrubados | 326 |
| Domínios bloqueados | 142 |
| Criptomoedas identificadas | €41 milhões (~US$ 47 milhões) |
| Credenciais recuperadas | 27 milhões |
| Dispositivos infectados identificados | 385 mil+ |
| Dispositivos infectados em maio de 2026 | 140 mil (em duas semanas) |
A Microsoft, por meio de sua Digital Crimes Unit, identificou mais de 200 domínios de comando e controle associados ao Amadey e ao StealC e trabalhou com parceiros para derrubar essa infraestrutura por meio de ordens judiciais e apreensões de domínio. Segundo a BleepingComputer, as duas famílias de malware estavam ligadas a mais de 140 mil dispositivos infectados apenas nas duas primeiras semanas de maio de 2026 — um ritmo que demonstra a escala do problema.
A identificação de €41 milhões em criptomoedas vinculadas às operações é um marco. Embora nem todo esse valor tenha sido confiscado de fato, o rastreamento e o bloqueio desses fundos representam uma perda financeira direta para as organizações criminosas, o que pode desestimular novos investidores no mercado de MaaS.
SocGholish: falso alerta de atualização
A operação também atingiu o SocGholish, também conhecido como FakeUpdates. Esse malware infecta visitantes através de sites comprometidos que exibem falsos alertas de atualização de navegador — aqueles pop-ups que dizem “seu Chrome está desatualizado” e pedem para clicar em um botão. Quando o usuário clica, o malware é baixado e executado silenciosamente no computador. Segundo a Europol, o SocGholish é um dos loaders mais utilizados para distribuir ransomware na cadeia de ataque inicial.
Essa não é a primeira vez que o SocGholish é alvo de operações policiais. Como cobrimos recentemente, uma ação anterior limpou quase 15 mil sites infectados pelo mesmo grupo, ligado à gangue Evil Corp. Mesmo assim, o loader continua ativo, o que mostra a resiliência dessas operações criminosas e a dificuldade de eliminá-las de forma definitiva.
Por que importa para o Brasil
O StealC é amplamente utilizado em ataques do tipo ClickFix — técnica de engenharia social que exibe CAPTCHAs falsos ou mensagens de erro no navegador para convencer o usuário a copiar e executar comandos no Terminal. Esse mesmo vetor foi utilizado em campanhas recentes no TikTok e em ataques FileFix, mostrando que a ameaça já cruzou a fronteira entre computador e celular.
No Brasil, onde o WhatsApp é o principal canal de comunicação e o uso de criptomoedas cresce de forma acelerada, o risco é concreto. Credenciais roubadas pelo StealC são vendidas em mercados clandestinos e por intermediários de acesso inicial (IABs), que por sua vez são usados por gangues de ransomware para entrar em redes corporativas. Um único roubo de credenciais pode culminar em um sequestro de dados multimilionário semanas depois, como explicamos em nosso artigo sobre ransomware em 2026 e a estratégia de defesa.
Empresas brasileiras que usam o Microsoft 365 como plataforma de trabalho estão particularmente expostas. O Amadey é frequentemente usado para estabelecer acesso inicial em ambientes Windows, e credenciais roubadas por infostealers como o StealC facilitam o acesso direto a contas corporativas sem necessidade de exploração técnica avançada.
Quem participou da operação
A coordenação ficou a cargo da Europol e da Eurojust, com participação de agências policiais do Canadá, Dinamarca, Alemanha, Holanda, Reino Unido e Estados Unidos. No setor privado, contribuíram a Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned e Spamhaus.
A ESET identificou e interrompeu a infraestrutura dos dois malwares, afetando cerca de 50 domínios e quase 200 servidores de comando e controle, segundo relatório da empresa. A Proofpoint e a IBM X-Force forneceram inteligência e análise de malware que orientaram as apreensões. Essa ação é a mais recente fase da Operação Endgame, que em ações anteriores já desmantelou outras famílias como DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium e SmokeLoader.
Como se proteger
Se as suas credenciais estavam entre as 27 milhões recuperadas, há chance de que já tenham sido publicadas ou vendidas. A recomendação imediata é checar no Have I Been Pwned se seus e-mails apareceram em novos vazamentos — lembrando o recente caso dos 16 bilhões de senhas expostos. Mesmo que não apareçam, troque senhas de contas importantes, especialmente de carteiras de criptomoedas, e-mail corporativo e serviços bancários.
Habilite autenticação em dois fatores (MFA) em todas as contas que suportam. O StealC rouba cookies e senhas salvas no navegador, então o MFA baseado em aplicativo (como Google Authenticator ou Authy) adiciona uma camada que o infostealer não consegue burlar sozinho. Mantenha o navegador e o sistema operacional atualizados e, acima de tudo, evite executar comandos no Terminal copiados de sites, vídeos ou mensagens — especialmente quando o texto afirma ser uma verificação de CAPTCHA ou uma correção de erro.
Derrubar infraestrutura resolve?
Apesar dos números impressionantes, a Operação Endgame enfrenta um problema estrutural: sem prisões, os criminosos normalmente reconstroem os servidores e lançam novas campanhas em poucas semanas. A reutilização de infraestrutura barata em data centers e a disponibilidade de MaaS tornam o ciclo de reconstrução rápido.
A eficácia dessas operações está em aumentar o custo e a fricção para os criminosos, não em eliminá-los. Cada vez que a infraestrutura é derrubada, os operadores precisam investir tempo e dinheiro para reconstruir — e durante esse intervalo, milhares de dispositivos deixam de ser infectados. Por enquanto, essa estratégia tem funcionado como uma medida de contenção, não como solução definitiva.