Зловреден софтуер GIFTEDCROOK
Зловредният софтуер, известен като GIFTEDCROOK, претърпя значителна трансформация. Първоначално проектиран като основен инструмент за кражба на данни от браузъра, той вече се е превърнал в сложен шпионски инструмент със стратегическа насоченост. Последните кампании, наблюдавани през юни 2025 г., разкриват тревожно подобрение: зловредният софтуер вече е насочен към чувствителни документи и собствени файлове от компрометирани устройства, особено тези, принадлежащи на украинското правителство и военния персонал.
Съдържание
Целенасочена атака срещу украинските институции
GIFTEDCROOK беше открит за първи път през април 2025 г., когато изследователи го свързаха с фишинг кампании, насочени към военни структури, правоохранителни органи и местни власти в Украйна. Тези кампании се приписват на групата хакери UAC-0226, която използва документи на Microsoft Excel с макроси, за да доставя полезния товар на зловреден софтуер чрез фишинг имейли.
Фишинг съобщенията често имитират официални комуникации, използвайки PDF примамки с военна тематика, за да подведат получателите да кликнат върху връзка към Mega cloud storage. Тази връзка съдържа Excel файл с активирани макроси, озаглавен „Списък ополчених військововозобов'язаних організацій 609528.xlsm“. След като макросите са активирани, GIFTEDCROOK се изтегля тихомълком в целевата система.
Какво краде GIFTEDCROOK: Разширяване на обхвата му
В основата си GIFTEDCROOK си остава крадец на информация. Първоначално фокусиран върху извличането на данни от браузъра, зловредният софтуер е предназначен да събира „бисквитки“, история на сърфиране и данни за удостоверяване от основни браузъри като Google Chrome, Microsoft Edge и Mozilla Firefox.
С течение на времето обаче възможностите на GIFTEDCROOK значително се разшириха. Започвайки като демо вариант през февруари 2025 г., по-новите версии 1.2 и 1.3 въведоха мощни функции за извличане на данни, по-специално възможността за насочване към файлове с размер под 7 MB и модифицирани през последните 45 дни.
Нови цели: Чувствителни файлове и вътрешни документи
Подобреният зловреден софтуер търси специално файлове със следните разширения:
Документи и презентации: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Електронни таблици и файлове с данни: .csv, .xls, .xlsx, .ods
Архиви и текстове: .rar, .zip, .eml, .txt
Изображения и конфигурации: .jpeg, .jpg, .png, .sqlite, .ovpn
Тази промяна на фокуса, от идентификационни данни за браузъра към скорошни и релевантни документи, подчертава ролята на GIFTEDCROOK в целенасоченото събиране на разузнавателна информация.
Методи за ексфилтрация: Да останеш незабелязан
След като зловредният софтуер събере желаните файлове, той компресира откраднатите данни в ZIP архив. Ако архивът надвишава 20 MB, той се разделя на по-малки части. Тези фрагменти се извличат чрез Telegram канал, контролиран от нападателите, метод, който помага за избягване на откриване и заобикаляне на традиционните инструменти за мрежова сигурност.
За да прикрие следите си, в последния етап се изпълнява пакетен скрипт, който премахва доказателства за зловредния софтуер от заразения хост.
Стратегически шпионаж, не само кражба
GIFTEDCROOK не е просто инструмент за кражба на идентификационни данни, а инструмент за кибершпионаж. Способността му да събира скорошни и чувствителни документи, като електронни таблици, PDF файлове и VPN конфигурации, показва умишлено намерение за извличане на разузнавателна информация от служителите в публичния сектор и вътрешните системи. Рисковете са значителни: всяко отделно компрометиране може да застраши цели институционални мрежи.
Геополитическо време и координирано развитие
Разгръщането на зловредния софтуер е в съответствие с геополитически остри моменти, по-специално преговорите в Истанбул между Украйна и Русия. Тази корелация предполага, че подобренията на GIFTEDCROOK не са случайни, а част от координирана стратегия за развитие, насочена към разширяване на възможностите за наблюдение в съответствие с политическите събития.
Заключение: Нарастваща заплаха, която отразява глобалното напрежение
Еволюцията на GIFTEDCROOK, от скромен крадец на данни от браузъри до широкоспектърна шпионска платформа, отразява нарастващата сложност на киберзаплахите, пред които са изправени националните институции. Развитието на версиите на зловредния софтуер, съчетано с добре разработени фишинг тактики и интелигентно събиране на данни, отразява ясното намерение на противника да използва цифровите прониквания като оръжие за стратегически ползи. Всеки, който е в позиция да борави с чувствителна информация, трябва да остане бдителен, тъй като вече не става въпрос само за откраднати пароли, а за информационна война в дигитална форма.
