Op 24 juni 2026 kondigden wetshandhavingsinstanties en particuliere partners een ontwrichtingsactie tegen StealC aan. De actie was gericht op 66 domeinen en 296 servers die verband houden met infostealers Amadey en StealC. Daarnaast heeft de Digital Crimes Unit van Microsoft een rechtszaak aangespannen tegen meerdere vermeende medeplichtigen die betrokken waren bij Amadey en StealC. Ook is deze unit erin geslaagd de infrastructuur die verband hield met de malware uit de lucht te halen.
StealC is een prominente ‘malware-as-a-service’ in het groeiende ecosysteem van infostealers. Aangezien identiteitsgegevens een lucratief doelwit blijven voor cybercriminelen, vormt de markt voor informatiedieven een aanzienlijke en toenemende dreiging voor zowel organisaties als particulieren. Om dit tegen te gaan, hebben de particuliere sector en wereldwijde partners bij wetshandhavingsinstanties samengewerkt om StealC en het ondersteunende ecosysteem aan te pakken en te ontwrichten. Proofpoint en IBM X-Force namen deel aan deze gezamenlijke actie.
De verstoring en de daarmee samenhangende civiele rechtszaak zullen gevolgen hebben voor de activiteiten van de malware, zowel vanuit tactisch oogpunt als wat betreft de reputatie. Gezien de doeltreffendheid van eerdere acties van Operation Endgame zal deze verstoring waarschijnlijk een aanzienlijke impact hebben op StealC. Hieronder vallen een verstoring van de dienstverlening, de verspreiding van malware, reputatieschade en financiële schade, en het verlies van klanten.
Wat is StealC?
StealC is een populaire infostealer-malware, die sinds januari 2023 als malware-as-a-service (MaaS) wordt verkocht. Klanten van deze dienst, ook wel affiliates genoemd, kopen een op Linux gebaseerd installatieprogramma voor het command-and-control (C2)-paneel. Met behulp van dit paneel kunnen affiliates vervolgens malware-samples bouwen en verspreiden om gevoelige data van slachtoffers te stelen. De gestolen data wordt verwerkt en opgeslagen op de paneelserver. Deze wordt gebruikt door affiliates om actieve infecties te beheren, secundaire payloads te verspreiden en hun configuraties bij te werken.
In maart 2025 brachten de ontwikkelaars StealC versie 2 uit, met diverse updates aan de codebase. De nieuwste versie van StealC is v2.22.0, uitgebracht op 26 mei 2026. Gevoelige data die door StealC tot doel worden gemaakt en gestolen, zijn onder meer:
- Browserdata: inloggegevens, cookies, browsegeschiedenis, autofill data, tokens, creditcards en browserextensies
- Gegevens uit e-mail- en messengerprogramma’s (Thunderbird, Outlook, Foxmail, Telegram, Discord, Tox, enz.)
- Gamingsoftware (Steam, Battle.Net, Uplay, enz.)
- Inloggegevens van andere software, waaronder Azure, OpenVPN, ProtonVPN, FileZilla en WinSCP
- Crypto-wallets
Naast de standaardlijst waarmee naar specifieke gevoelige bestanden wordt gezocht om te exfiltreren, kunnen affiliates ook aangepaste regels toevoegen.
De gestolen data kunnen vervolgens rechtstreeks door de affiliates worden gebruikt of op illegale markten worden verkocht. Gestolen inloggegevens en identiteiten worden vaak gebruikt om verdere aanvallen op organisaties uit te voeren, wat tot aanzienlijke schade leidt.
Nieuwste verstoring van Operation Endgame
Deze nieuwste verstoringsactie vormt een volgende stap in de bredere reeks initiatieven van Operation Endgame, gericht op het ecosysteem van cybercriminaliteit en de diensten die dit in stand houden. Door informatie te verzamelen en kwaadaardige infrastructuur te monitoren, hebben Proofpoint en X-Force essentiële ondersteuning geboden aan wetshandhavingsinstanties, de Microsoft Digital Crimes Unit en andere partners uit de particuliere sector. Deze sterke samenwerkingsverbanden laten zien hoe gezamenlijke actie cybercriminele activiteiten aanzienlijk kan verzwakken.
De missie van Proofpoint is om zijn klanten de beste, mensgerichte bescherming te bieden tegen geavanceerde dreigingen. Wanneer dat mogelijk en gepast is, zoals het geval is bij Operation Endgame, zet Proofpoint de kennis en vaardigheden van zijn team in om een breder publiek te beschermen tegen wijdverspreide malwaredreigingen.
Vanuit zijn positie is Proofpoint ideaal in staat om de grootste en meest ingrijpende campagnes voor de verspreiding van malware te identificeren. Hierdoor krijgen de wetshandhavingsinstanties de noodzakelijke informatie over de grootste dreigingen voor de samenleving, die wereldwijd het grootste aantal mensen treffen.
Klik
hier om de blog van Proofpoint te lezen.
Klik
hier om de de aankondiging van Europol te lezen.