GIFTEDCROOK Malware
Malwaren kendt som GIFTEDCROOK har gennemgået en betydelig transformation. Oprindeligt designet som en simpel browserdatatyveri, er den nu modnet til et sofistikeret spionageværktøj med et strategisk fokus. Nylige kampagner observeret i juni 2025 afslører en alarmerende forbedring: malwaren er nu rettet mod følsomme dokumenter og proprietære filer fra kompromitterede enheder, især dem, der tilhører den ukrainske regering og militærpersonale.
Indholdsfortegnelse
Et målrettet angreb på ukrainske institutioner
GIFTEDCROOK blev først opdaget i april 2025, da forskere forbandt det med phishing-kampagner rettet mod militære enheder, retshåndhævende myndigheder og lokale myndigheder i Ukraine. Disse kampagner tilskrives trusselsaktørgruppen UAC-0226, som udnytter makro-tilpassede Microsoft Excel-dokumenter til at levere malware-nyttelasten via phishing-e-mails.
Phishing-beskederne efterligner ofte officiel kommunikation og bruger militærinspirerede PDF-lokkemidler til at narre modtagere til at klikke på et Mega-cloud-lagringslink. Dette link er vært for en makroaktiveret Excel-fil med titlen 'Список оповіщених військовозобов'язаних організації 609528.xlsm'. Når makroer er aktiveret, downloades GIFTEDCROOK lydløst til målsystemet.
Hvad GIFTEDCROOK stjæler: Udvidelse af rækkevidde
I sin kerne er GIFTEDCROOK fortsat en informationstyveri. Malwaren, der oprindeligt fokuserede på at udtrække browserdata, er designet til at indsamle cookies, browserhistorik og godkendelsesoplysninger fra større browsere som Google Chrome, Microsoft Edge og Mozilla Firefox.
Med tiden er GIFTEDCROOKs muligheder dog blevet betydeligt udvidet. De nyere versioner 1.2 og 1.3, der startede som en demovariant i februar 2025, introducerede kraftfulde dataudfiltreringsfunktioner, især muligheden for at målrette filer under 7 MB i størrelse og ændret inden for de sidste 45 dage.
Nye mål: Følsomme filer og interne dokumenter
Den forbedrede malware søger specifikt efter filer med følgende filtypenavne:
Dokumenter og præsentationer: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Regneark og datafiler: .csv, .xls, .xlsx, .ods
Arkiver og tekster: .rar, .zip, .eml, .txt
Billeder og konfigurationer: .jpeg, .jpg, .png, .sqlite, .ovpn
Dette skift i fokus, fra browseroplysninger til nyere og relevante dokumenter, understreger GIFTEDCROOKs rolle i målrettet efterretningsindsamling.
Eksfiltreringsmetoder: Hold dig under radaren
Når malwaren har indsamlet de ønskede filer, komprimerer den de stjålne data til et ZIP-arkiv. Hvis arkivet overstiger 20 MB, opdeles det i mindre dele. Disse fragmenter eksfiltreres via en Telegram-kanal, der kontrolleres af angriberne, en metode, der hjælper med at undgå opdagelse og omgå traditionelle netværkssikkerhedsværktøjer.
For at dække sporene udføres et batchscript i den sidste fase, der fjerner beviser for malwaren fra den inficerede vært.
Strategisk spionage, ikke bare tyveri
GIFTEDCROOK er ikke blot en værktøj til at stjæle legitimationsoplysninger, det er også et cyberspionageværktøj. Dets evne til at indsamle nye og følsomme dokumenter såsom regneark, PDF'er og VPN-konfigurationer indikerer en bevidst intention om at udtrække efterretninger fra offentligt ansatte og interne systemer. Risiciene er betydelige: enhver individuel kompromitering kan bringe hele institutionelle netværk i fare.
Geopolitisk timing og koordineret udvikling
Implementeringen af malwaren stemmer overens med geopolitiske spændinger, især Istanbul-forhandlingerne mellem Ukraine og Rusland. Denne sammenhæng tyder på, at forbedringerne af GIFTEDCROOK ikke var tilfældige, men en del af en koordineret udviklingsstrategi, der sigtede mod at udvide overvågningskapaciteterne i overensstemmelse med politiske begivenheder.
Konklusion: En voksende trussel, der afspejler globale spændinger
Udviklingen af GIFTEDCROOK, fra en beskeden browserdatatyv til en fuldspektret spionageplatform, afspejler den stigende kompleksitet af cybertrusler, som nationale institutioner står over for. Malwarens versionsudvikling, kombineret med veludviklede phishing-taktikker og intelligent dataindsamling, afspejler modstanderens klare intention om at udnytte digitale indtrængen som våben for strategisk gevinst. Enhver, der er i en position, hvor de håndterer følsomme oplysninger, skal forblive årvågen. Det handler ikke længere kun om stjålne adgangskoder, men om informationskrig i digital form.
