В международной операции Endgame правоохранители и специалисты ИБ-компаний ударили по инфраструктуре, которую использовали операторы загрузчика Amadey и инфостилера StealC. Речь идёт не о точечном инциденте, а о серии действий, которые вывели из строя сотни серверов и доменов, а также перекрыли преступникам доступ к части денег и украденных данных.

Для обычного пользователя эта история важна по простой причине: такие связки редко бьют только по одной машине. Сначала злоумышленники закрепляются в системе, потом крадут логины, cookie и банковские данные, а дальше продают доступ или запускают вторую волну атаки. Подобные цепочки мы уже разбирали в материале о краже логинов через браузер внутри атаки и в статье о том, как у провайдеров утекают логины.

Какую проблему решает операция Endgame

Операция бьёт по модели Malware-as-a-Service — когда вредонос сдают в аренду с панелью управления, технической поддержкой и готовой инфраструктурой. В случае с Amadey и StealC это означало, что одни клиенты ставили загрузчик, а другие использовали его для кражи паролей, токенов, банковских карт и криптокошельков.

По данным Европола, операцию проводили с 15 по 19 июня 2026 года. Координацию вели Европол и Евроюст, а техническую помощь оказывали Microsoft, ESET, Bitdefender, Bitsight, Proofpoint, IBM X-Force и другие компании.

Что именно отключили

Участники операции вывели из строя 326 серверов и 142 домена. Следователи также обнаружили и заморозили криптовалютные активы преступного происхождения на сумму более 41 млн евро.

Отдельный удар пришёлся по данным: эксперты нашли около 27 млн учётных данных, похищенных более чем из 385 000 заражённых систем. По оценке Microsoft, только за первые две недели мая 2026 года Amadey и StealC атаковали более 140 000 устройств по всему миру.

Как работала связка Amadey и StealC

Amadey обычно играет роль загрузчика. Он закрепляется на устройстве и тянет туда дополнительные вредоносы — стилеры, RAT и шифровальщики. StealC, в свою очередь, ищет пароли, cookie-сессии, данные банковских карт, сведения из криптокошельков, историю браузера и файлы из приложений.

Затем украденные данные уходят в даркнет или к брокерам первоначального доступа. Для жертвы это выглядит как цепочка мелких сбоев, а на деле заканчивается кражей аккаунтов, проникновением в корпоративную сеть и шифрованием файлов.

Если вы храните рабочие входы в браузере, стоит ещё раз проверить, где у вас включена синхронизация и какие расширения стоят. В отдельной статье мы уже объясняли, почему безопасность паролей упирается не только в 2FA, а ещё — как часто атакующие добираются до учёток через повседневные инструменты.

Как проверить себя

Сначала посмотрите, не было ли странных входов в почту, мессенджеры и рабочие сервисы. Особенно тревожный сигнал — входы с новых устройств, сброшенные сессии и письма о смене пароля, которые вы не запускали.

Дальше проверьте браузер: список сохранённых паролей, активные расширения, загруженные файлы и историю последних установок. Если устройство корпоративное, сообщите в ИБ-службу о любом подозрении, даже если вредонос не нашёлся: именно через такие точки атакующие часто удерживают доступ неделями.

Для поездок, отелей и кафе лучше заранее подумать о дополнительной защите трафика на личных устройствах. Один из вариантов — шифрование соединения для ноутбука и смартфона, когда вы работаете через чужую сеть и не хотите светить лишние данные.

Что делать, если не получилось

Если вы нашли признаки заражения, не пытайтесь «дочистить» всё вручную на ходу. Сначала отключите устройство от сети, затем смените пароли с чистого компьютера, завершите активные сессии и включите двухфакторную защиту там, где это возможно.

После этого проверьте банковские операции, уведомите банк о подозрительной активности и, если речь о рабочем ноутбуке, передайте его специалистам. Вредоносы типа StealC редко ограничиваются одним аккаунтом: если они уже добрались до cookie или менеджера паролей, риск быстро расширяется на другие сервисы.

Практический чек-лист

  • Проверить входы в почту, мессенджеры и рабочие сервисы за последние недели.
  • Посмотреть список сохранённых паролей и убрать лишние.
  • Обновить пароли к важным аккаунтам с чистого устройства.
  • Включить двухфакторную защиту там, где она ещё не активна.
  • Проверить расширения браузера и удалить незнакомые.
  • Просканировать устройство антивирусом и, если это корпоративный ноутбук, сообщить в ИБ-службу.
  • Для поездок и работы вне офиса заранее включать дополнительную защиту трафика на личных устройствах.
Поделиться: