برنامج GIFTEDCROOK الخبيث

شهد البرنامج الخبيث المعروف باسم GIFTEDCROOK تحولاً جذرياً. صُمم في الأصل لسرقة بيانات المتصفحات، ثم تطور ليصبح أداة تجسس متطورة ذات هدف استراتيجي. تكشف الحملات الأخيرة التي رُصدت في يونيو 2025 عن تطور مثير للقلق: يستهدف البرنامج الخبيث الآن المستندات الحساسة والملفات الخاصة من الأجهزة المخترقة، وخاصة تلك التابعة للحكومة الأوكرانية والعسكريين.

هجوم مُستهدف على المؤسسات الأوكرانية

اكتُشفت أداة GIFTEDCROOK لأول مرة في أبريل 2025، عندما ربطها الباحثون بحملات تصيد احتيالي استهدفت جهات عسكرية، ووكالات إنفاذ قانون، وهيئات حكومية محلية في أوكرانيا. تُنسب هذه الحملات إلى مجموعة التهديد UAC-0226، التي تستغل مستندات Microsoft Excel المُدمجة بوحدات الماكرو لإيصال حمولة البرامج الضارة عبر رسائل بريد إلكتروني تصيدية.

غالبًا ما تُحاكي رسائل التصيد الاحتيالي الاتصالات الرسمية، مستخدمةً ملفات PDF ذات طابع عسكري لخداع المستلمين ودفعهم للنقر على رابط تخزين سحابي ضخم. يحتوي هذا الرابط على ملف Excel مُفعّل بوحدات الماكرو بعنوان "Список оповіщених військовозобов'язаних організації 609528.xlsm". بمجرد تفعيل وحدات الماكرو، يتم تنزيل GIFTEDCROOK تلقائيًا إلى النظام المستهدف.

ما يسرقته GIFTEDCROOK: توسيع نطاق وصولها

في جوهره، لا يزال GIFTEDCROOK برنامجًا لسرقة المعلومات. ركّز البرنامج الخبيث في البداية على استخراج بيانات المتصفح، وهو مصمم لجمع ملفات تعريف الارتباط وسجلّ التصفح وبيانات اعتماد المصادقة من المتصفحات الرئيسية مثل Google Chrome وMicrosoft Edge وMozilla Firefox.

مع مرور الوقت، توسّعت قدرات GIFTEDCROOK بشكل ملحوظ. بدءًا من النسخة التجريبية في فبراير 2025، قدّم الإصداران الأحدث 1.2 و1.3 ميزاتٍ فعّالة لاستخراج البيانات، لا سيما القدرة على استهداف الملفات التي يقل حجمها عن 7 ميجابايت، والتي عُدّلت خلال آخر 45 يومًا.

أهداف جديدة: الملفات الحساسة والمستندات الداخلية

يبحث البرنامج الخبيث المعزز بشكل خاص عن الملفات ذات الامتدادات التالية:

المستندات والعروض التقديمية: .doc، .docx، .rtf، .ppt، .pptx، .pdf، .odt

جداول البيانات وملفات البيانات: .csv، .xls، .xlsx، .ods

الأرشيفات والنصوص: .rar، .zip، .eml، .txt

الصور والتكوينات: .jpeg، .jpg، .png، .sqlite، .ovpn

ويؤكد هذا التحول في التركيز، من بيانات اعتماد المتصفح إلى المستندات الحديثة ذات الصلة، على دور GIFTEDCROOK في جمع المعلومات الاستخبارية المستهدفة.

طرق الاستخراج: البقاء تحت الرادار

بمجرد أن يجمع البرنامج الخبيث الملفات المطلوبة، يضغط البيانات المسروقة في ملف ZIP. إذا تجاوز حجم الملف 20 ميجابايت، يُقسّم إلى أجزاء أصغر. تُستخرج هذه الأجزاء عبر قناة تيليجرام يتحكم بها المهاجمون، وهي طريقة تُساعد على التهرب من الكشف وتجاوز أدوات أمن الشبكات التقليدية.

ولتغطية آثارها، يتم تنفيذ نص دفعي في المرحلة النهائية، مما يؤدي إلى إزالة أدلة البرامج الضارة من المضيف المصاب.

التجسس الاستراتيجي، وليس مجرد السرقة

GIFTEDCROOK ليس مجرد أداة لسرقة بيانات الاعتماد، بل هو أداة تجسس إلكتروني. تشير قدرته على جمع مستندات حديثة وحساسة، مثل جداول البيانات وملفات PDF وتكوينات الشبكات الافتراضية الخاصة (VPN)، إلى نية متعمدة لاستخلاص معلومات استخباراتية من موظفي القطاع العام والأنظمة الداخلية. المخاطر جسيمة: فأي اختراق فردي قد يُعرّض شبكات مؤسسية بأكملها للخطر.

التوقيت الجيوسياسي والتنمية المنسقة

يتماشى نشر البرنامج الخبيث مع بؤر التوتر الجيوسياسي، لا سيما مفاوضات إسطنبول بين أوكرانيا وروسيا. يشير هذا الارتباط إلى أن تحسينات GIFTEDCROOK لم تكن مصادفة، بل كانت جزءًا من استراتيجية تطوير منسقة تهدف إلى توسيع قدرات المراقبة بما يتماشى مع الأحداث السياسية.

الخلاصة: تهديد متزايد يعكس التوترات العالمية

يعكس تطور GIFTEDCROOK، من سارق بيانات متصفح بسيط إلى منصة تجسس شاملة، التعقيد المتزايد للتهديدات السيبرانية التي تواجهها المؤسسات الوطنية. يعكس تطور إصدارات البرنامج الخبيث، إلى جانب أساليب التصيد الاحتيالي المتقنة وجمع البيانات الذكي، نية العدو الواضحة لاستغلال الاختراقات الرقمية لتحقيق مكاسب استراتيجية. يجب على كل من يتعامل مع معلومات حساسة أن يظل يقظًا، فالأمر لم يعد يقتصر على سرقة كلمات المرور، بل أصبح حربًا معلوماتية رقمية.