بدافزار GIFTEDCROOK

بدافزاری که با نام GIFTEDCROOK شناخته می‌شود، دستخوش تغییر و تحول قابل توجهی شده است. این بدافزار که در ابتدا به عنوان یک دزد اطلاعات مرورگر ساده طراحی شده بود، اکنون به یک ابزار جاسوسی پیچیده با تمرکز استراتژیک تبدیل شده است. کمپین‌های اخیر مشاهده شده در ژوئن 2025، پیشرفت نگران‌کننده‌ای را نشان می‌دهند: این بدافزار اکنون اسناد حساس و فایل‌های اختصاصی را از دستگاه‌های آسیب‌دیده، به‌ویژه دستگاه‌های متعلق به دولت و پرسنل نظامی اوکراین، هدف قرار می‌دهد.

حمله هدفمند به نهادهای اوکراینی

GIFTEDCROOK اولین بار در آوریل ۲۰۲۵ کشف شد، زمانی که محققان آن را به کمپین‌های فیشینگ با هدف نهادهای نظامی، سازمان‌های اجرای قانون و نهادهای دولتی محلی در اوکراین مرتبط دانستند. این کمپین‌ها به گروه عامل تهدید UAC-0226 نسبت داده می‌شوند که از اسناد مایکروسافت اکسل با ماکرو برای انتقال بدافزار از طریق ایمیل‌های فیشینگ استفاده می‌کند.

پیام‌های فیشینگ اغلب از ارتباطات رسمی تقلید می‌کنند و با استفاده از فایل‌های PDF با تم نظامی، گیرندگان را فریب می‌دهند تا روی لینکی در فضای ذخیره‌سازی ابری مگا کلیک کنند. این لینک حاوی یک فایل اکسل با قابلیت ماکرو با عنوان «پیام‌های GIFTEDCROOK در گوگل پلی» است. پس از فعال شدن ماکروها، GIFTEDCROOK بی‌سروصدا در سیستم هدف دانلود می‌شود.

آنچه GIFTEDCROOK می‌دزدد: گسترش دامنه فعالیتش

در اصل، GIFTEDCROOK یک دزد اطلاعات است. این بدافزار که در ابتدا بر استخراج داده‌های مرورگر متمرکز بود، برای جمع‌آوری کوکی‌ها، تاریخچه مرور و اعتبارنامه‌های احراز هویت از مرورگرهای اصلی مانند گوگل کروم، مایکروسافت اج و موزیلا فایرفاکس طراحی شده است.

با این حال، با گذشت زمان، قابلیت‌های GIFTEDCROOK به طور قابل توجهی گسترش یافته است. نسخه‌های جدیدتر ۱.۲ و ۱.۳ که به عنوان یک نسخه آزمایشی در فوریه ۲۰۲۵ شروع به کار کردند، ویژگی‌های قدرتمندی برای استخراج داده‌ها، به ویژه توانایی هدف قرار دادن فایل‌هایی با حجم کمتر از ۷ مگابایت و اصلاح‌شده در ۴۵ روز گذشته، ارائه دادند.

اهداف جدید: فایل‌های حساس و اسناد داخلی

این بدافزار پیشرفته به‌طور خاص فایل‌هایی با پسوندهای زیر را جستجو می‌کند:

اسناد و ارائه‌ها: .doc، .docx، .rtf، .ppt، .pptx، .pdf، .odt

صفحات گسترده و فایل‌های داده: .csv، .xls، .xlsx، .ods

بایگانی‌ها و متن‌ها: .rar، .zip، .eml، .txt

تصاویر و پیکربندی‌ها: .jpeg، .jpg، .png، .sqlite، .ovpn

این تغییر تمرکز، از اعتبارنامه‌های مرورگر به اسناد جدید و مرتبط، نقش GIFTEDCROOK را در جمع‌آوری اطلاعات هدفمند برجسته می‌کند.

روش‌های خروج از سیستم: دور ماندن از دید رادار

هنگامی که بدافزار فایل‌های مورد نظر را جمع‌آوری می‌کند، داده‌های دزدیده شده را در یک آرشیو ZIP فشرده می‌کند. اگر حجم آرشیو از 20 مگابایت بیشتر شود، به بخش‌های کوچک‌تری تقسیم می‌شود. این قطعات از طریق یک کانال تلگرامی که توسط مهاجمان کنترل می‌شود، استخراج می‌شوند، روشی که به جلوگیری از شناسایی و دور زدن ابزارهای امنیتی شبکه سنتی کمک می‌کند.

برای پوشاندن ردپای خود، یک اسکریپت دسته‌ای در مرحله نهایی اجرا می‌شود و شواهد بدافزار را از میزبان آلوده حذف می‌کند.

جاسوسی استراتژیک، نه فقط دزدی

GIFTEDCROOK صرفاً یک دزد اطلاعات کاربری نیست، بلکه یک ابزار جاسوسی سایبری است. ظرفیت آن در جمع‌آوری اسناد جدید و حساس مانند صفحات گسترده، فایل‌های PDF و پیکربندی‌های VPN نشان دهنده یک قصد عمدی برای استخراج اطلاعات از کارکنان بخش دولتی و سیستم‌های داخلی است. خطرات قابل توجه است: هرگونه نفوذ فردی می‌تواند کل شبکه‌های سازمانی را به خطر بیندازد.

زمان‌بندی ژئوپلیتیکی و توسعه هماهنگ

استقرار این بدافزار با نقاط حساس ژئوپلیتیکی، به ویژه مذاکرات استانبول بین اوکراین و روسیه، همسو است. این همبستگی نشان می‌دهد که پیشرفت‌های GIFTEDCROOK تصادفی نبوده، بلکه بخشی از یک استراتژی توسعه هماهنگ با هدف گسترش قابلیت‌های نظارتی متناسب با رویدادهای سیاسی است.

نتیجه‌گیری: تهدیدی رو به رشد که بازتاب تنش‌های جهانی است

تکامل GIFTEDCROOK، از یک دزد اطلاعات مرورگر ساده به یک پلتفرم جاسوسی تمام‌عیار، نشان‌دهنده پیچیدگی فزاینده تهدیدات سایبری پیش روی نهادهای ملی است. پیشرفت نسخه‌های این بدافزار، همراه با تاکتیک‌های فیشینگ ماهرانه و جمع‌آوری هوشمند داده‌ها، نشان‌دهنده قصد آشکار دشمن برای استفاده از نفوذهای دیجیتال به عنوان سلاح برای دستاوردهای استراتژیک است. هر کسی که در موقعیتی است که با اطلاعات حساس سروکار دارد، باید هوشیار باشد، این دیگر فقط مربوط به رمزهای عبور دزدیده شده نیست، بلکه جنگ اطلاعاتی به شکل دیجیتال است.