logo ESET software spol. s r. o.

Český ESET se podílel na zásahu proti botnetu Amadey a infostealeru Stealc

V rámci globální Operace Endgame poskytli bezpečnostní experti z českých poboček společnosti ESET svým partnerům technickou analýzu a informace o infrastruktuře a partnerské síti obou škodlivých kódů. Útočníci je provozují v ekosystému MaaS, kdy malware nabízejí k zakoupení na černém trhu potenciálním zájemcům - svým budoucím partnerům.

Mezinárodní operaci koordinovalo oddělení Microsoft Digital Crimes Unit (DCU) ve spolupráci se společnostmi BitSight, Lumen a Mitsui Bussan Secure Directions (MBSD). Operace byla zaměřena na veškerou známou síťovou infrastrukturu, kterou útočníci využívali, s cílem ochromit jejich kyberkriminální aktivity.

Současně s tím v rámci této operace vyšetřovalo infostealer Stealc také Evropské centrum pro boj proti kyberkriminalitě (EC3) při Europolu, a to společně s evropskými orgány činnými v trestním řízení, včetně německého Spolkového kriminálního úřadu či nizozemské a dánské státní policie, a společnostmi IBM nebo Proofpoint.

Z dat telemetrie společnosti ESET vyplývá, že botnet Amadey působil globálně bez výrazného regionálního zaměření. Nejvyšší míru detekcí experti zaznamenali v Indii, Turecku, Egyptě, Mexiku a Španělsku.

Infostealer Stealc se také šířil globálně bez specifického regionálního zaměření. Nejvyšší míra detekcí pak byla zaznamenána ve Spojených státech, Polsku a Itálii.

"ESET sleduje botnet Amadey i infostealer Stealc již tři roky. Pro potřeby této operace jsme sdíleli statistiky pokrývající období od čtvrtého čtvrtletí roku 2025 do prvního pololetí 2026, a to spolu s technickými indikátory a konfiguračními daty získanými ze zpracovaných vzorků malwaru. Vzorky škodlivých kódů Amadey a Stealc analyzovaly naše automatizované systémy a identifikovaly data, která jsou nejrelevantnější pro sledování ve velkém měřítku. Patří mezi ně C&C servery, identifikátory verzí malwaru, šifrovací klíče, URL adresy, identifikátory kampaní a další hodnoty, které malware využívá pro komunikaci s infrastrukturou kontrolovanou útočníky," říká Jakub Tománek, bezpečnostní expert z pražské pobočky společnosti ESET, který se na operaci podílel.

Díky tomuto sdílení informací mohly orgány činné v trestním řízení s vysokou mírou jistoty identifikovat, prioritizovat a podnikat kroky proti infrastruktuře útočníků.

Bezpečnostní experti z českého ESETu budou i nadále sledovat oba malwary a monitorovat případné pokusy o obnovu jejich operační infrastruktury.

Byznys na dark webu

Amadey je modulární malware typu loader. Jeho hlavním účelem je distribuovat další škodlivý kód do kompromitovaných systémů, přičemž nabízí také moduly pro exfiltraci dat a získání vzdáleného přístupu. Stealc je naopak typickým infostealerem, který jeho autoři nabízejí v podobě služby dalším útočníkům. Zaměřuje se na přihlašovací údaje, soubory cookies, kryptoměnové peněženky, rozšíření prohlížečů a další soubory, které si útočníci určí.

Autoři obou rodin malwaru je nabízejí jako službu - MaaS (Malware-as-a-Service) a propagují na darknetových fórech. V obou ekosystémech získávají jejich zájemci (partneři) administrativní panel, který si mají nasadit v rámci vlastní serverové infrastruktury. To od nich vyžaduje určitou míru technických dovedností, a zároveň jim to poskytuje přímou kontrolu nad daty obětí a distribucí malwaru.

O tom, jakou metodou budou malware šířit, rozhodují jednotliví partneři. Data společnosti ESET konzistentně poukazují na to, že oba škodlivé kódy byly distribuovány přes široký výběr kanálů.

Nejčastějšími způsoby šíření byly falešné aktualizace softwaru, instalátory cracknutých programů a škodlivé loadery třetích stran.

Malware za příplatek nebo jako předplatné

Infostealer Stealc

Provozovatelé infostealeru Stealc zvolili k partnerům přívětivější přístup a v rámci předplatného nabízeli neomezené generování verzí malwaru. To snižovalo provozní náklady spojené s obměnou infrastruktury a usnadňovalo partnerům vytváření nových vzorků podle potřeby.

Infostealer se zaměřuje na širokou škálu zdrojů dat, včetně přihlašovacích údajů uložených ve webových prohlížečích, e-mailových klientech, FTP klientech, herních platformách, souborů kryptoměnových peněženek a rozšíření prohlížečů.

Stealc se prodává ve formě předplatného, přičemž nejlevnější varianta stojí 1000 USD na šest měsíců.

Botnet Amadey

Botnet Amadey fungoval tak, že si partneři zakoupili licenci a následně platili další poplatek při každém vytvoření nové verze malwaru (např. při přechodu na nový kontrolní server). Jeho provozovatelé tedy neposkytovali partnerům nástroj pro tvorbu nových verzí malwaru.

Vzorky škodlivého kódu byly na vyžádání kompilovány zvlášť pro každého partnera. Služba nabízí tři moduly pro další exfiltraci dat a získání přístupu: modul pro sledování schránky (clipboardu), modul pro krádež přihlašovacích údajů a modul vzdáleného přístupu.

Cena služby činí 600 USD v bitcoinech za jednu licenci, přičemž za každou novou verzi malwaru se účtuje dalších 50 USD.

Článek ESET software spol. s r. o. ze dne středa 1. července 2026

Další články od ESET software spol. s r. o.

Český ESET se podílel na zásahu proti botnetu Amadey a infostealeru Stealc

Jak přemýšlíme nad volbou operačního systému svého telefonu v kontextu kybernetické bezpečnosti

Finančními výsledky české pobočky ESET za rok 2025

ESET vstupuje do strategického partnerství s NATO

ESET investuje do inovací v oblasti AI

Modulární řešení ESET PRIVATE pro velké firmy, vládní sektor a kritickou infrastrukturu

Nové funkce v platformě ESET PROTECT pro bezpečné firemní používání AI nástrojů

Malware NGate zneužívá NFC při kyberútocích v Česku stále častější

eCrime reporty o kybernetické kriminalitě

Akční nabídka kybernetické ochrany ESET pro domácnosti a koncové uživatele

Platforma ESET PROTECT minimalizuje rizika kybernetických hrozeb

Jak Češi využívají komunikační platformy

Malware PromptSpy pro platformu Android zneužívá generativní AI

Pražská výzkumná pobočka ESET slaví 15 let

ESET komentuje zpřístupnění dat uživatelů sociální sítě Moltbook pro AI agenty

Polský energetický sektor byl cílem ruských hackerů

Ransomwarová scéna ve světě a Česku za rok 2025

Předpověď kybernetických hrozeb pro rok 2026

Chytré telefony na svátky odkládáme a preferujeme fyzické dárky

Roste obliba online nákupů ze zemí EU a Asie

Analýza phishingových útoků na Českou republiku

Výrobci dronů v Evropě čelí útokům severokorejských hackerů

Malware se maskuje za aplikaci ČNB, útočníci pak pomocí NFC technologie vybírají peníze z bankomatů

ESET posiluje nabídku řešení pro domácnosti

Windows 10 aktuálně využívá třetina českých uživatelů

APT skupiny s napojením na ruskou FSB zaútočili na vysoce postavené cíle na Ukrajině

Ransomware PromptLock řídí umělá inteligence

Tři roky ochrany v online světě za cenu dvou let pro domácnosti i firmy

ESET se zapojuje do programu CIEP v boji proti kyberkriminalitě

ESET posiluje investice do výzkumu a vývoje

Chytrý telefon je přirozenou součástí letního cestování

Jan Urbík - nový Country manažer ESET v České republice

Růst zájmu o služby spravované detekce a reakce ESET MDR

Jak se vyhnout kybernetickým rizikům během letních festivalů

ESET věnuje tři miliony eur na projekt lorAI - Low Resource AI

Phishingové útoky jsou nedílnou součástí kybernetických rizik

Zpráva o aktivitách skupin útočníků zaměřených na pokročilé přetrvávající hrozby

Pozor na kybernetická rizika při nákupu kryptoměn

Změny v ekosystému ransomwarových gangů

Platforma ESET PROTECT posiluje kybernetickou bezpečnost firem

Útočná skupina DeceptiveDevelopment cílí na vývojáře softwaru

Jak bezpečně stahovat a spravovat aplikace v chytrém mobilním telefonu

Michal Červenka - nový marketingový ředitel české pobočky ESET

ESET Threat Report H2 2024 analyzuje globální vývoj kybernetických hrozeb

Roste obliba nákupů prostřednictvím chytrého telefonu a mimo klasické české e-shopy

ESET objevil zranitelnosti v produktech Mozilla a Windows

Češi podceňují bezpečnost při zálohování svých dat

Aktualizace ESET HOME Security reaguje na růst počtu pokročilých a automatizovaných hrozeb na internetu

Organizovaná síť podvodníků cílí na ubytovací platformy

Kybernetická špionáž APT skupiny Gamaredon