Programari maliciós GIFTEDCROOK
El programari maliciós conegut com a GIFTEDCROOK ha experimentat una transformació significativa. Originalment dissenyat com un lladre bàsic de dades de navegador, ara ha madurat fins a convertir-se en una eina d'espionatge sofisticada amb un enfocament estratègic. Les campanyes recents observades el juny de 2025 revelen una millora alarmant: el programari maliciós ara té com a objectiu documents sensibles i fitxers propietaris de dispositius compromesos, en particular els que pertanyen al govern i al personal militar ucraïnesos.
Taula de continguts
Un atac dirigit a les institucions ucraïneses
GIFTEDCROOK es va descobrir per primera vegada l'abril de 2025, quan els investigadors el van vincular a campanyes de phishing dirigides a entitats militars, organismes d'aplicació de la llei i organismes governamentals locals a Ucraïna. Aquestes campanyes s'atribueixen al grup d'actors amenaçadors UAC-0226, que aprofita documents de Microsoft Excel amb macros per lliurar la càrrega de programari maliciós a través de correus electrònics de phishing.
Els missatges de suplantació d'identitat (phishing) sovint imiten les comunicacions oficials, utilitzant esquers PDF amb temàtica militar per enganyar els destinataris perquè facin clic a un enllaç d'emmagatzematge al núvol de Mega. Aquest enllaç allotja un fitxer Excel habilitat per a macros titulat "Список оповіщених військовозобов'язаних організації 609528.xlsm". Un cop habilitades les macros, GIFTEDCROOK es descarrega silenciosament al sistema de destinació.
Què roba GIFTEDCROOK: ampliant el seu abast
En essència, GIFTEDCROOK continua sent un lladre d'informació. Inicialment centrat en l'extracció de dades del navegador, el programari maliciós està dissenyat per recopilar galetes, historial de navegació i credencials d'autenticació dels principals navegadors com ara Google Chrome, Microsoft Edge i Mozilla Firefox.
Amb el temps, però, les capacitats de GIFTEDCROOK s'han ampliat significativament. Començant com a variant de demostració el febrer de 2025, les versions més noves 1.2 i 1.3 van introduir potents funcions d'exfiltració de dades, en particular la capacitat de localitzar fitxers de menys de 7 MB i modificats en els darrers 45 dies.
Nous objectius: fitxers sensibles i documents interns
El programari maliciós millorat busca específicament fitxers amb les extensions següents:
Documents i presentacions: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Fulls de càlcul i fitxers de dades: .csv, .xls, .xlsx, .ods
Arxius i textos: .rar, .zip, .eml, .txt
Imatges i configuracions: .jpeg, .jpg, .png, .sqlite, .ovpn
Aquest canvi d'enfocament, de les credencials del navegador a documents recents i rellevants, subratlla el paper de GIFTEDCROOK en la recopilació d'intel·ligència específica.
Mètodes d’exfiltració: Mantenir-se sota el radar
Un cop el programari maliciós recopila els fitxers desitjats, comprimeix les dades robades en un arxiu ZIP. Si l'arxiu supera els 20 MB, es divideix en parts més petites. Aquests fragments s'exfiltren a través d'un canal de Telegram controlat pels atacants, un mètode que ajuda a evadir la detecció i a eludir les eines de seguretat de xarxa tradicionals.
Per cobrir les seves petjades, s'executa un script per lots a la fase final, eliminant les proves del programari maliciós de l'amfitrió infectat.
Espionatge estratègic, no només robatori
GIFTEDCROOK no és simplement un lladre de credencials, sinó una eina de ciberespionatge. La seva capacitat per recopilar documents recents i sensibles com ara fulls de càlcul, PDF i configuracions de VPN indica una intenció deliberada d'extreure informació dels treballadors del sector públic i dels sistemes interns. Els riscos són substancials: qualsevol compromís individual pot posar en perill xarxes institucionals senceres.
Temps geopolític i desenvolupament coordinat
El desplegament del programari maliciós s'alinea amb punts crítics geopolítics, en particular les negociacions d'Istanbul entre Ucraïna i Rússia. Aquesta correlació suggereix que les millores de GIFTEDCROOK no van ser casuals, sinó que formaven part d'una estratègia de desenvolupament coordinada destinada a ampliar les capacitats de vigilància d'acord amb els esdeveniments polítics.
Conclusió: una amenaça creixent que reflecteix les tensions globals
L'evolució de GIFTEDCROOK, d'un modest lladre de dades de navegador a una plataforma d'espionatge d'espectre complet, reflecteix la creixent complexitat de les amenaces cibernètiques a què s'enfronten les institucions nacionals. La progressió de versions del programari maliciós, juntament amb tàctiques de phishing ben elaborades i una recopilació intel·ligent de dades, reflecteix la clara intenció de l'adversari de convertir les intrusions digitals en armes per obtenir guanys estratègics. Qualsevol persona que estigui en una posició de gestionar informació sensible ha de romandre vigilant, ja no es tracta només de contrasenyes robades, sinó de guerra de la informació en forma digital.
