Den internationella operationen, Operation Endgame, har genomfört ett betydande angrepp mot StealC-malwaren, ett sofistikerat verktyg som sålts som en service till cyberkriminella. Operationen, som samordnades av Europol och Eurojust, involverade samarbete mellan myndigheter från Kanada, Danmark, Tyskland, Nederländerna, Storbritannien och USA, samt en rad ledande säkerhetsföretag som Proofpoint, IBM X-Force och Bitdefender.

StealC har agerat som en "malware-as-a-service" (MaaS) sedan januari 2023, vilket innebär att kriminella kunder kunde köpa tillgång till ett kontrollpanel, bygga malware-prover, infektera offer och samla in stulna data genom servrar de själva administrerade. Malwaren var kapabel att stjäla lösenord, cookies, autofyll-data, kreditkortsdetaljer, kryptovaluta-kontots data och inloggningsuppgifter från verktyg som Telegram, Discord, Outlook, FileZilla, WinSCP, OpenVPN, ProtonVPN och spelplattformar.

En viktig aspekt av operationen var identifieringen av över 41 miljoner euro (cirka 47 miljoner dollar) i kriminellt förvärvade kryptovalutor, vilka förvarades och begränsades av myndigheterna. Samtidigt upptäcktes en sårbarhet i själva StealC:s kontrollpanel – en ruta som kunde användas för att ladda upp en webbserver, vilket ledde till rättelse i koden av utvecklarna i februari.

Genom att samla in StealC-prover från interna källor, VirusTotal och partners, kunde Proofpoint och IBM X-Force analysera effektivt hur kontrollservern fungerade, identifiera attacker och skapa detektioner. Denna forskning avslöjade också att StealC kunde leverera diverse andra typer av skadlig kod, som Vidar, XMRig, Amadey, AsyncRAT, SectopRAT, HijackLoader, SmokeLoader, XTinyLoader och till och med LockBit Black ransomware (LockBit 3.0). Detta visar på den roll StealC spelar som en plattform för spridning av andra skadliga program.

Operation Endgame är ett tydligt exempel på hur internationellt samarbete mellan myndigheter och säkerhetsföretag kan effektivt störa cyberbrottslighet i stor skala.