Amadey è un loader modulare di malware. Il suo scopo principale è quello di distribuire ulteriori malware suisistemi compromessi

Cybersecurity sicurezza hacker Amadey pexels

ESETha contribuito a smantellare la botnet Amadey e l’infostealer Stealc fornendo analisi tecniche, monitoraggio dell’infrastruttura e approfondimenti a livello di affiliati. Entrambi sono gestiti come malware as a service (MaaS). L’operazione – identicoordinata dalla Digital Crimes Unit (DCU) di Microsoft, da BitSight, Lumen e Mitsui Bussan Secure Directions (MBSD) – ha preso di mira tutte le infrastrutture di rete note utilizzate dagli affiliati di Amadey e Stealc, al fine di paralizzare le loro operazioni di criminalità informatica. Contemporaneamente, l’Europol’s European Cybercrime Centre (EC3), insieme ai partner delle forze dell’ordine europee, tra cui il Germany’s Federal Criminal Police Office e la polizia nazionale olandese e danese, stava indagando su Stealc nell’ambito dell’Operation Endgame, in collaborazione con IBM e Proofpoint.

Il tasso di rilevamento della telemetria di ESET indica che il malware Amadey è stato rilevato a livello globale senza una concentrazione specifica in una determinata regione. I tassi di rilevamento più elevati sono stati registrati in India, Turchia, Egitto, Messico e Spagna. Anche Stealc è stato diffuso a livello globale senza una concentrazione specifica in una regione, con maggiori rilevamenti negli Stati Uniti, in Polonia e in Italia.

ESET ha contribuito a contrastare questa minaccia fornendo analisi tecniche, dati statistici, server di comando e controllo (C&C) noti, chiavi di crittografia, identificatori di campagne e di build, nonché altre informazioni sulle minacce raccolte nel corso del monitoraggio a lungo termine di entrambe le famiglie di malware.

“ESET monitora sia la botnet Amadey che l’infostealer Stealc da tre anni. Ai fini dell’operazione di contrasto, abbiamo condiviso statistiche relative al periodo compreso tra il Q4 2025 e l’H1 2026, insieme agli indicatori tecnici e ai dati di configurazione estratti dai campioni di malware analizzati,” spiega Jakub Tomanek, ESET researcher.

Tomanek, che collabora alle iniziative volte a contrastare Amadey e Stealc, aggiunge: “I nostri sistemi automatizzati hanno analizzato i campioni di Amadey e Stealc, individuando i campi più rilevanti per il monitoraggio su larga scala. Tra questi figurano i server C&C, gli identificatori delle campagne e altri valori incorporati utilizzati dalle famiglie di malware durante la comunicazione con le infrastrutture controllate dagli autori degli attacchi.”

La condivisione di analisi tecniche, dati statistici e informazioni sulle minacce, quali elenchi di server C&C, identificatori di affiliati e chiavi di crittografia, consente alle forze dell’ordine di identificare, classificare in ordine di priorità e intervenire contro le infrastrutture con un elevato grado di certezza.

Amadey è un loader modulare di malware. Il suo scopo principale è quello di distribuire ulteriori malware suisistemi compromessi, sebbene offra anche moduli per l’esfiltrazione di dati e l’accesso remoto. Stealc, al contrario, è un tipico infostealer as a service. Prende di mira credenziali, cookie, portafogli di criptovalute, estensioni del browser e file che corrispondono a modelli definiti dagli affiliati.

Entrambe le famiglie malware sono vendute come servizi e pubblicizzate su forum del darknet. In entrambi gli ecosistemi, gli affiliati ricevono un pannello di amministrazione self-hosted che deve essere distribuito sulla propria infrastruttura server. Ciò richiede un determinato livello di competenze tecniche da parte degli affiliati e offre loro un controllo diretto sui dati delle vittime e sulla distribuzione dei payload.

Sebbene i metodi di distribuzione dipendano in ultima analisi da ciascun singolo affiliato, la telemetria di ESET ha mostrato costantemente che entrambe le famiglie malware venivano distribuite attraverso un’ampia gamma di canali. I metodi più comuni includevano falsi aggiornamenti software, installer di software crackato e loader malware di terze parti.

Amadey utilizzava un modello pay-per-rebuild. Gli affiliati acquistavano una licenza e pagavano poi un costo aggiuntivo ogni volta che avevano bisogno di generare una nuova build, ad esempio in caso di passaggio a un nuovo server C&C. In altre parole, gli operatori di Amadey non fornivano agli affiliati uno strumento di builder; i campioni venivano invece compilati su richiesta per ciascun affiliato. Il servizio offre tre moduli per l’ulteriore esfiltrazione dei dati e l’accesso: un modulo di monitoraggio degli appunti, un modulo per il furto di credenziali e un modulo di accesso remoto basato su VNC. Il servizio ha un prezzo di 600 dollari statunitensi in Bitcoin per una singola licenza, con un costo aggiuntivo di 50 dollari per ogni rebuild.

Stealc adottava un approccio più favorevole agli affiliati, offrendo la generazione illimitata di build come parte dell’abbonamento. Ciò riduceva il costo operativo della rotazione dell’infrastruttura C&C e rendeva più semplice per gli affiliati generare nuovi campioni quando necessario. Il malware prende di mira un’ampia gamma di fonti di dati, tra cui le credenziali memorizzate da browser web, client email, client FTP, piattaforme di gaming, file di wallet di criptovalute ed estensioni del browser. Stealc viene venduto tramite abbonamento mensile, con l’offerta più economica pari a 1.000 dollari statunitensi per sei mesi.

Nel tentativo di evitare truffe di impersonificazione, entrambi gli operatori invitavano esplicitamente i potenziali affiliati, sui forum del darknet, a contattarli esclusivamente attraverso canali ufficiali. Amadey indirizzava gli acquirenti verso messaggi privati sul forum del darknet in cui veniva pubblicizzato, mentre Stealc utilizzava messaggi privati sui forum del darknet o Telegram.

ESET continuerà a monitorare entrambe le famiglie malware e a tracciare eventuali tentativi di ricostruire l’infrastruttura operativa in seguito all’operazione di neutralizzazione.