A Europol anunciou uma ofensiva global que resultou na desarticulação de redes de malware, com a desativação de centenas de servidores dedicados a campanhas de extorsão digital e recolha de credenciais. A ação policial conjunta, designada Operação Endgame, neutralizou os nós operacionais das infraestruturas criminosas SocGholish, Amadey e StealC.
A intervenção, coordenada de forma direta a partir de Haia pelo Centro Europeu de Cibercrime da Europol e pela Eurojust, decorreu ao longo das últimas duas semanas. As autoridades financeiras e informáticas procederam à identificação e ao congelamento de ativos digitais de origem ilícita, cujo valor ascende a mais de 41 milhões de euros.
A nível de infraestrutura tecnológica pura, a operação efetuou a remoção de 326 servidores ativos e assumiu o controle administrativo de 142 domínios na Internet. Estes recursos informáticos serviam de suporte direto à propagação de agentes maliciosos e à gestão centralizada de redes de computadores comprometidos.
Operação Endgame: estratégia ataca a linha de montagem do crime digital
O foco desta operação representa uma rutura metodológica na atividade das forças de segurança internacionais. Em vez de direcionarem esforços para a mitigação isolada de incidentes ou de variantes específicas de vírus, as polícias concentraram a atividade na desestruturação das cadeias de distribuição de serviços partilhados de crime informático.
Esta abordagem integrada gerou fricção operacional severa no ecossistema de fornecimento de acessos. De acordo com os relatórios técnicos validados pela Microsoft, parceira privada na operação, apenas as ferramentas Amadey e StealC registaram ligação direta à infeção ativa de mais de 140 mil computadores pessoais em todo o mundo durante a primeira quinzena de maio de 2026.
O encadeamento destas ameaças seguia um modelo corporativo de divisão de tarefas. O agente Amadey garantia a penetração inicial nos sistemas das vítimas, enquanto o StealC executava a extração sistemática de palavras-passe, chaves de acesso e identidades armazenadas para posterior venda em fóruns clandestinos.
WordPress sob monitorização após mitigação de redes de malware
O impacto da campanha associada ao vetor SocGholish exigiu a limpeza urgente de 14.971 sites Web legítimos que haviam sido adulterados. O algoritmo malicioso afetou páginas de empresas de serviços quotidianos, como oficinas de reparação automóvel e estabelecimentos de restauração, através da exploração de falhas em plataformas de gestão de conteúdo.
A tática consistia na distribuição de atualizações de navegadores de Internet falsas. Os cibercriminosos comprometiam a integridade do código em instalações WordPress e forçavam a exibição de avisos pop-up fraudulentos, que descarregavam o ficheiro executável nocivo assim que o utilizador aceitava a instalação.
A análise técnica associa a rede SocGholish ao coletivo de origem russa Evil Corp. Esta organização criminosa possui um histórico consolidado no desenvolvimento de ameaças financeiras de grande escala, com responsabilidade direta na criação anterior dos códigos Zeus e Dridex, além de ligações a esquemas globais de branqueamento de capitais.
Recomendações Oficiais aos Administradores de WordPress
- Substituição imediata de todas as credenciais de acesso administrativas do painel de controlo.
- Ativação obrigatória de mecanismos de autenticação de múltiplos fatores para todos os utilizadores.
- Auditoria técnica à base de dados para eliminação de contas de utilizadores desconhecidas.
- Atualização regular e sistemática do núcleo da plataforma, bem como dos temas e extensões instalados.
Cooperação internacional envolveu o setor privado
A execução da Operação Endgame dependeu da partilha de dados táticos em tempo real através da aplicação SIENA, a plataforma de comunicação segura da Europol. A Taskforce de Ação Conjunta contra o Cibercrime assegurou o alinhamento das investigations nacionais para evitar a dispersão de provas.
O esforço reuniu competências operacionais da Real Polícia Montada do Canadá, da Polícia da Dinamarca, do Gabinete Federal de Investigação Criminal da Alemanha, da Unidade Nacional de Alta Tecnologia dos Países Baixos, da Agência Nacional do Crime do Reino Unido e de agências federais dos Estados Unidos. O setor privado participou com peritos de segurança da Microsoft, Proofpoint, IBM X-Force, Bitdefender e da fundação Shadowserver.
No âmbito da recuperação de informação, a intervenção permitiu resgatar cerca de 27 milhões de credenciais de identificação que se encontravam em posse dos atacantes. A Europol iniciou a partilha destes dados com redes de notificação a vítimas, incluindo a plataforma NoMoreLeaks e o portal HaveIBeenPwned, para alertar os utilizadores afetados de forma célere.
Perguntas Frequentes (FAQ)
O que distingue a Operação Endgame de outras ações policiais?
Esta operação focou-se na neutralização simultânea de toda a cadeia de fornecimento técnico do cibercrime. Ao desativar os servidores de suporte de três variantes de malware em simultâneo, as autoridades cortaram o fornecimento de acessos e a recolha de credenciais que alimentavam ataques subsequentes de extorsão digital.
Como procedia o malware SocGholish para infetar plataformas baseadas em WordPress?
O SocGholish explorava vulnerabilidades em sites Web geridos através de WordPress para injetar código malicioso. Esse código exibia avisos falsos de atualização do navegador de Internet aos visitantes. O clique no aviso descarregava o código que concedia aos atacantes o controlo remoto do computador do utilizador.
De que forma os utilizadores podem verificar se as suas credenciais foram recuperadas nesta operação?
As autoridades internacionais transferiram os 27 milhões de registos recuperados para bases de dados de segurança fidedignas, como o serviço HaveIBeenPwned. Os proprietários de sites e os utilizadores particulares podem submeter os seus endereços nesses portais para confirmar se constam da lista de contas comprometidas.
Pontos Principais
- Apreensão de mais de 41 milhões de euros em ativos criptográficos de origem criminosa.
- Remoção de 326 servidores e controlo administrativo de 142 domínios usados pelas redes de malware.
- Mitigação do impacto informático em 14.971 sítios Web legítimos assentes no gestor de conteúdos WordPress.
- Recuperação e proteção de 27 milhões de credenciais de acesso roubadas a utilizadores globais.
Outros artigos interessantes:
