Una acción multinacional bajo la iniciativa conocida como “Operación Endgame” logró esta semana la interrupción de infraestructuras vinculadas a los malware SocGholish, Amadey y StealC, herramientas empleadas para distribuir cargadores (droppers), robo de credenciales y programas de extorsión digital.
Las autoridades participantes —entre ellas unidades de Canadá, Dinamarca, Alemania, Países Bajos, Reino Unido y Estados Unidos, con apoyo de Europol, Eurojust y empresas privadas como Microsoft— actuaron contra cientos de servidores y decenas de dominios relacionados con la distribución de estos programas maliciosos.
Reportes de prensa y comunicados oficiales indican que la operación permitió limpiar cerca de 15,000 sitios web comprometidos, muchos de ellos basados en WordPress, y bloquear fondos en criptomonedas por un monto superior a 41 millones de euros. Las autoridades también reportaron la recuperación de millones de credenciales robadas, usadas por los atacantes para acceder a sistemas y cuentas.
SocGholish, conocido también como “FakeUpdates”, se propaga mediante falsas alertas de actualización desde páginas web comprometidas; una vez activado, puede introducir otros programas más peligrosos, como infostealers o ransomware. Amadey y StealC se asocian a la instalación de cargas adicionales destinadas al robo de contraseñas o a la creación de accesos persistentes en equipos infectados.
Fuentes oficiales señalan que la operación forma parte de un esfuerzo continuado para desarticular la cadena de distribución de malware en su fase inicial —los llamados droppers— con el objetivo de reducir ataques posteriores de mayor impacto, como el ransomware.
Las autoridades recomiendan a administradores de sitios y usuarios verificar sus sistemas, actualizar gestores y contraseñas, y revisar sus entornos web para cerciorarse de que no existan archivos o scripts maliciosos que permitan redirecciones o descargas no autorizadas.
