欧洲刑警组织与多国执法机构日前联合发起“终结行动”,对支撑StealC、Amadey和SocGholish三大恶意软件的犯罪生态发起同步打击。这三种工具广泛运用于当下的“网络犯罪即服务”供应链,行动直指幕后关键基础设施,意图切断勒索软件部署、凭证窃取和大规模金融欺诈的关键通路。
此次行动跨度两周,参与方覆盖加拿大、丹麦、德国、荷兰、英国和美国的执法部门,以及欧洲刑警组织、欧盟司法合作组织,私营部门伙伴包括微软、Proofpoint、IBM X-Force、Bitdefender和Shadowserver等。多方合力精确锁定了犯罪“装配线”,这类组织化的恶意软件分发流水线让网络攻击得以在全球快速复制。
行动成果密集:326台服务器和142个域名被强制下线,直接瘫痪了部分恶意软件分发网络;执法方同时识别并冻结了价值4100万欧元(约合4700万美元)的非法加密资产;更值得关注的是,超过2700万条被盗登录凭证被追回,近1.5万家遭受感染的网站完成修复,当中包括小型商户、餐厅和汽修店等传统线下场景的线上入口,这些企业的数字资产往往缺乏防护,极易沦为攻击跳板。
重点打击对象StealC属于“信息窃取器”中具备投放功能的变种,能通过多种攻击渠道静默提取受感染系统中的密码、存储凭证、会话令牌和数字身份,并将窃得数据直接输入地下市场供欺诈和转售。与StealC搭配使用的Amadey则是一种主要通过钓鱼邮件传播的投放器/载入器,负责率先在受害者设备上建立初始访问,随后StealC在后台执行凭证收割。两者构成的协同链使得攻击从渗透到数据变现的周期大幅缩短。微软威胁情报数据揭示,仅2026年5月的前两周,Amadey与StealC就已集体关联全球超过14万台受感染计算机。
第三款被遏制的恶意软件SocGholish同样扮演投放器/载入器角色,其传播方式是通过入侵WordPress网站后植入伪造的浏览器更新弹窗。该恶意软件被归因于俄罗斯网络犯罪组织“Evil Corp”,该组织此前曾操控Zeus、Dridex等臭名昭著的恶意软件,并与大量勒索软件和洗钱活动关联。此次行动中,荷兰警方已主动修补了受感染网站的漏洞并通知相关业主。安全机构同时呼吁,面对此类攻击,WordPress管理员应立即更改登录凭证、启用多因素验证、移除未知管理员账户并保持平台更新,普通用户则切记不要点击任何浏览器弹窗中的更新提示,所有软件更新都应经由官方系统设置或经验证的应用商店执行。
随着“终结行动”将执法焦点从单体黑客扩展至全球化恶意软件供应链,它所呈现的不单是一次清理战绩,更代表了一种应对网络犯罪组织化、服务化趋势的策略升级。从拆解分发型基础设施到公私情报协作,再到对投放器-窃取器协作链条的定向打断,这种全链路打击正在重新定义执法力量对抗数字黑产的边界。
热门跟贴