Malware GIFTEDCROOK
Malware známý jako GIFTEDCROOK prošel významnou transformací. Původně byl navržen jako základní nástroj pro krádež dat z prohlížečů, ale nyní se rozvinul v sofistikovaný špionážní nástroj se strategickým zaměřením. Nedávné kampaně pozorované v červnu 2025 odhalují alarmující zlepšení: malware nyní cílí na citlivé dokumenty a proprietární soubory z napadených zařízení, zejména těch, která patří ukrajinské vládě a vojenskému personálu.
Obsah
Cílený útok na ukrajinské instituce
Malware GIFTEDCROOK byl poprvé objeven v dubnu 2025, kdy jej vědci spojili s phishingovými kampaněmi zaměřenými na vojenské subjekty, donucovací orgány a místní samosprávy na Ukrajině. Tyto kampaně jsou připisovány skupině hackerů UAC-0226, která využívá dokumenty Microsoft Excel s makro efekty k doručování malwarového obsahu prostřednictvím phishingových e-mailů.
Phishingové zprávy často napodobují oficiální komunikaci a používají lákavé PDF soubory s vojenskou tematikou, aby oklamaly příjemce a přiměly je kliknout na odkaz na cloudové úložiště Mega. Tento odkaz obsahuje soubor aplikace Excel s povolenými makry s názvem „Seznam ozbrojených sil v oblasti hospodářské činnosti 609528.xlsm“. Jakmile jsou makra povolena, GIFTEDCROOK se tiše stáhne do cílového systému.
Co GIFTEDCROOK krade: Rozšiřování jeho dosahu
Ve své podstatě zůstává GIFTEDCROOK zlodějem informací. Malware, původně zaměřený na extrakci dat z prohlížeče, je navržen tak, aby shromažďoval soubory cookie, historii prohlížení a ověřovací údaje z hlavních prohlížečů, jako jsou Google Chrome, Microsoft Edge a Mozilla Firefox.
Postupem času se však možnosti GIFTEDCROOK výrazně rozšířily. Novější verze 1.2 a 1.3, které začaly jako demo varianta v únoru 2025, přinesly výkonné funkce pro exfiltraci dat, zejména schopnost cílit na soubory menší než 7 MB a upravené během posledních 45 dnů.
Nové cíle: Citlivé soubory a interní dokumenty
Vylepšený malware konkrétně vyhledává soubory s následujícími příponami:
Dokumenty a prezentace: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Tabulky a datové soubory: .csv, .xls, .xlsx, .ods
Archivy a texty: .rar, .zip, .eml, .txt
Obrázky a konfigurace: .jpeg, .jpg, .png, .sqlite, .ovpn
Tento posun v zaměření od přihlašovacích údajů prohlížeče k nedávným a relevantním dokumentům podtrhuje roli GIFTEDCROOK v cíleném shromažďování zpravodajských informací.
Metody exfiltrace: Jak zůstat v tajnosti
Jakmile malware shromáždí požadované soubory, zkomprimuje ukradená data do ZIP archivu. Pokud archiv přesáhne 20 MB, je rozdělen na menší části. Tyto fragmenty jsou získány prostřednictvím telegramového kanálu ovládaného útočníky, což je metoda, která pomáhá vyhnout se detekci a obcházet tradiční nástroje síťové bezpečnosti.
Aby se zakryly stopy, je v závěrečné fázi spuštěn dávkový skript, který z infikovaného hostitele odstraní důkazy o malwaru.
Strategická špionáž, nejen krádež
GIFTEDCROOK není jen nástroj pro krádež přihlašovacích údajů, ale nástroj pro kybernetickou špionáž. Jeho schopnost shromažďovat nedávné a citlivé dokumenty, jako jsou tabulky, PDF soubory a konfigurace VPN, naznačuje úmyslný záměr získat informace od pracovníků veřejného sektoru a interních systémů. Rizika jsou značná: jakýkoli individuální kompromitující útok může ohrozit celé institucionální sítě.
Geopolitické načasování a koordinovaný rozvoj
Nasazení malwaru odpovídá geopolitickým událostem, zejména istanbulským jednáním mezi Ukrajinou a Ruskem. Tato korelace naznačuje, že vylepšení GIFTEDCROOK nebyla náhodná, ale součástí koordinované vývojové strategie zaměřené na rozšíření sledovacích schopností v souladu s politickými událostmi.
Závěr: Rostoucí hrozba, která odráží globální napětí
Vývoj malwaru GIFTEDCROOK, od skromného zloděje dat z prohlížečů k plnohodnotné špionážní platformě, odráží rostoucí složitost kybernetických hrozeb, kterým čelí národní instituce. Postupný vývoj verzí malwaru, spolu s propracovanými phishingovými taktikami a inteligentním sběrem dat, odráží jasný záměr protivníka využít digitální útoky jako zbraň pro strategické zisky. Každý, kdo je v pozici, kdy nakládá s citlivými informacemi, musí zůstat ostražitý, protože se již nejedná jen o ukradená hesla, ale o informační válku v digitální podobě.
