Nesta quarta-feira (24), a Microsoft revelou uma ação conjunta com a Europol e diversas empresas de segurança para desmantelar a infraestrutura associada aos malwares Amadey e StealC, que estão ligados a fraudes digitais, roubo de dados e ataques de ransomware em várias regiões do mundo.
A operação foi desencadeada após investigações que mostraram que, apesar das origens diferentes dos dois softwares, ambos utilizavam componentes comuns para controlar dispositivos infectados e coletar informações sensíveis. A Microsoft aponta que, em um curto período de duas semanas em maio, mais de 140 mil computadores foram identificados como afetados por essas ameaças.
O objetivo da ação não se limita apenas a neutralizar softwares específicos, mas também visa atacar a estrutura subjacente que possibilita operações criminosas mais amplas. A estratégia adotada pela Microsoft procura dificultar a realização, expansão e reestruturação de ataques cibernéticos organizados.
Operação visa desmantelar estruturas criminosas
A ofensiva resultou na desativação de mais de 200 servidores e sistemas de comando e controle que eram utilizados para gerenciar equipamentos infectados, extrair dados e manter atividades maliciosas em andamento. Durante o processo, foram identificados mais de 18 mil computadores pertencentes a vítimas, com operadoras de telecomunicações se unindo na proteção desses usuários.
As investigações revelaram uma conexão operacional entre o Amadey e o StealC. Enquanto o primeiro atua como um mecanismo para distribuir códigos maliciosos, o segundo é focado na coleta de informações armazenadas em dispositivos comprometidos, incluindo credenciais de acesso e cookies de navegação.
Conforme análise apresentada pela Microsoft, o StealC é disponibilizado como um serviço para criminosos e pode extrair dados de navegadores, carteiras digitais, aplicativos de mensagens, serviços de e-mail e plataformas de jogos. Após a infecção inicial, o malware tem capacidade para receber ordens para instalar outros programas prejudiciais.
Por sua vez, o Amadey funciona como uma plataforma para entrega de ameaças digitais. Essa ferramenta pode baixar e executar diversas cargas maliciosas, estabelecer mecanismos de persistência no sistema afetado e receber comandos remotos dos operadores da campanha criminosa.
A empresa destacou que a identificação da relação entre as duas ameaças foi facilitada pelo uso da inteligência artificial. Pesquisadores aplicaram ferramentas baseadas em IA para analisar amostras de malware, identificar conexões técnicas e validar hipóteses num tempo significativamente menor ao que seria requerido por métodos tradicionais.
De acordo com a Microsoft, essa descoberta permitiu agrupar os responsáveis por diferentes elementos da operação dentro da mesma estrutura criminosa. A abordagem legal adoptada busca responsabilizar não apenas os criadores das ferramentas específicas mas também aqueles que sustentam a operação do ecossistema utilizado nos ataques.
A companhia observa que o cibercrime contemporâneo opera de forma fragmentada e especializada, com distintos grupos desempenhando funções variadas ao longo da cadeia do ataque. Nesse modelo, um software compromete um dispositivo enquanto outro coleta informações, enquanto terceiros exploram ou vendem os dados obtidos.
Na visão da empresa, esse arranjo cria oportunidades para ações simultâneas contra múltiplos pontos da operação criminosa. Ao interromper vários elementos interconectados, torna-se mais difícil para os criminosos restabelecer suas atividades rapidamente.
Em declaração sobre a operação, Steven Masada, conselheiro jurídico adjunto da Unidade de Crimes Digitais da Microsoft, ressaltou que a estratégia visa expandir o alcance das iniciativas contra o cibercrime. “Não é suficiente combater ameaças isoladamente; precisamos interromper como os ataques são estruturados”, afirmou o executivo em comunicado oficial.
A Microsoft declarou que continuará monitorando tentativas de reconstituição da infraestrutura desmantelada e planeja integrar os resultados dessa operação em programas voltados à identificação rápida e remoção de domínios e serviços utilizados para fins maliciosos.
