商傳媒|葉安庭/綜合外電報導
科技巨擘微軟(Microsoft)於週三宣布,已聯合歐洲刑警組織(Europol)與多個業界夥伴,成功瓦解兩款廣泛使用的網路犯罪工具 StealC 和 Amadey 惡意軟體的基礎設施。此次行動仰賴人工智慧(AI)輔助分析,旨在打擊更廣泛的惡意軟體供應鏈,該供應鏈被用於竊取憑證、支援詐欺及勒索軟體攻擊。
微軟的這項行動鎖定了逾 200 個與 StealC 和 Amadey 惡意軟體家族相關的命令與控制(command-and-control)網域和 IP 位址。命令與控制網域是駭客遠端操控受感染電腦的伺服器。據微軟表示,在 2026 年 5 月的前兩週,Amadey 和 StealC 導致全球超過 14 萬台電腦感染。截至目前,微軟已識別出逾 1.8 萬台受害電腦,並切斷了犯罪份子對這些設備的控制,同時正與電信服務供應商合作,協助保護受影響的客戶。
微軟指出,這次行動策略已從傳統上針對單一惡意軟體服務,轉變為打擊協調多個獨立工具與犯罪份子的網路犯罪「生產線」。在此次行動中,調查人員運用 AI 工具,包括微軟旗下產品 Copilot,分析惡意軟體程式碼,以比傳統人工分析更快的速度,找出隱藏細節並識別基礎設施之間的關聯。微軟強調,AI 分析的應用,與擴大運用民事法律工具(如反勒索及受賄組織法案,Racketeer Influenced and Corrupt Organizations Act)結合,是這次行動的一大特點。
根據微軟威脅情報團隊、Windows Defender 研究人員和 Microsoft Digital Crimes Unit 的描述,StealC 是一種「租賃式資訊竊取軟體」(infostealer for rent),威脅行為者可利用它產生客製化的酬載,並透過網頁面板管理竊取到的資料。這款軟體能竊取瀏覽器、加密貨幣錢包、通訊應用程式、電子郵件客戶端和遊戲平台的資料,包含儲存的密碼、會話 cookie(記錄使用者登入狀態與活動的小型資料)、自動填寫資料、瀏覽歷史記錄及桌面螢幕截圖等。此外,StealC 還能作為次級載入器,下載並執行其他惡意程式碼。而 Amadey 則是一種「惡意軟體即服務」(malware-as-a-service)載入器,自至少 2018 年以來便相當活躍,主要用於感染設備後傳遞 StealC、Lumma Stealer、遠端存取木馬、加密貨幣挖礦軟體,甚至勒索軟體。
微軟警告,資訊竊取軟體即使初期是透過個人或非受控裝置入侵,也可能演變成嚴重的企業資安事件。例如,員工家用電腦中被竊取的會話 cookie 或虛擬私人網路(VPN)憑證,可能讓攻擊者使用有效憑證進入企業系統,甚至繞過多因素驗證(需要多種方式才能登入的驗證機制)。微軟表示,此次行動並非一次性,而是廣泛策略的一部分,目標是透過法律行動、AI 分析與夥伴協調,破壞讓網路犯罪服務得以擴展的基礎設施,從而瓦解「不只是單一工具,還有促成網路犯罪的系統」。隨著 AI 技術在資安領域的應用日益普及,台灣資安產業亦可借鏡此趨勢,積極探索 AI 在網路威脅偵測與防禦上的潛力。
