Microsoft Copilot usato per bloccare StealC e Amadey

Microsoft ha collaborato con Europol per smantellare l’infrastruttura usata da StealC e Amadey, due noti malware sfruttata durante attacchi informatici contro migliaia di utenti nel mondo. Lo stretto legame tra infostealer e loader è stato scoperto con l’aiuto di Copilot.

AI al servizio dei buoni contro i cattivi

Amadey e StealC sono esempi di MaaS (Malware-as-a-Service). Gli sviluppatori offrono l’accesso ai malware in abbonamento, a costo fisso o in percentuale sui riscatti ottenuti dagli affiliati, ovvero i cybercriminali che effettuano materialmente gli attacchi.

Amadey è un loader (o dropper) utilizzato per l’accesso iniziale al computer (quasi sempre tramite phishing). Raccoglie informazioni sul sistema, effettua la connessione al server C2 (command and control) e scarica altri payload. In questo caso si tratta di StealC, un infostealer che può esfiltrare credenziali, cookie di sessione e cronologia dai browser. Può anche accedere alle app di messaggistica, alle email e ai wallet di criptovalute. I dati vengono quindi venduti a terzi o utilizzati per altri attacchi.

Solo nelle prime due settimane di maggio, Amadey e StealC hanno infettato oltre 140.000 computer nel mondo. Microsoft ha individuato oltre 18.000 computer e rimosso i malware (con l’autorizzazione dei giudici). Durante l’operazione effettuata insieme a Europol, l’azienda di Redmond ha usato Copilot per analizzare il codice di Amadey e StealC, individuando gli indirizzi IP (oltre 200) dei server C2.

Copilot ha quindi permesso di scoprire che i due malware condividevano la stessa infrastruttura, smantellata con la collaborazione delle forze dell’ordine di sei paesi e altri partner privati. Nel comunicato di Europol è scritto che l’infrastruttura è stata usata anche da SocGholish, un loader che viene distribuito tramite falsi aggiornamenti del browser mostrati quando l’utente visita siti compromessi basati su WordPress.

In totale sono stati sequestrati 326 server, 142 domini e oltre 41 milioni di euro in criptovalute. I cybercriminali avevano rubato oltre 27 milioni di credenziali.