תוכנה זדונית GIFTEDCROOK

התוכנה הזדונית המכונה GIFTEDCROOK עברה טרנספורמציה משמעותית. במקור, היא תוכננה ככלי בסיסי לגניבת נתוני דפדפן, וכעת היא התבגרה לכלי ריגול מתוחכם בעל מיקוד אסטרטגי. קמפיינים אחרונים שנצפו ביוני 2025 חושפים שיפור מדאיג: התוכנה הזדונית מכוונת כעת למסמכים רגישים ולקבצים קנייניים ממכשירים שנפרצו, במיוחד כאלה השייכים לממשלת אוקראינה ולאנשי צבא.

מתקפה ממוקדת על מוסדות אוקראינים

GIFTEDCROOK התגלה לראשונה באפריל 2025, כאשר חוקרים קישרו אותו לקמפיינים של פישינג שכוונו נגד גופים צבאיים, סוכנויות אכיפת חוק וגופי ממשל מקומיים באוקראינה. קמפיינים אלה מיוחסים לקבוצת גורמי האיום UAC-0226, אשר מנצלת מסמכי Microsoft Excel בעלי מאקרו כדי להעביר את המטען של תוכנות זדוניות באמצעות הודעות דוא"ל פישינג.

הודעות הפישינג מחקות לעתים קרובות תקשורת רשמית, תוך שימוש בפיתויים של PDF בנושאים צבאיים כדי להערים על הנמענים ללחוץ על קישור לאחסון ענן מגה. קישור זה מארח קובץ אקסל המאפשר מאקרו בשם 'Список оповіщених військовозобов'язаних організації 609528.xlsm'. לאחר הפעלת פקודות המאקרו, GIFTEDCROOK מורד בשקט למערכת היעד.

מה GIFTEDCROOK גונבת: הרחבת טווח ההגעה שלה

בבסיסו, GIFTEDCROOK נותרה גונבת מידע. התוכנה הזדונית, שהתמקדה בתחילה בחילוץ נתוני דפדפן, נועדה לאסוף קובצי Cookie, היסטוריית גלישה ופרטי אימות מדפדפנים עיקריים כמו Google Chrome, Microsoft Edge ו-Mozilla Firefox.

עם הזמן, יכולותיה של GIFTEDCROOK התרחבו משמעותית. גרסאות 1.2 ו-1.3, שהחלו כגרסת הדגמה בפברואר 2025, הציגו תכונות עוצמתיות של סינון נתונים, ובמיוחד את היכולת למקד קבצים בגודל של פחות מ-7 מגה-בייט וששונו ב-45 הימים האחרונים.

מטרות חדשות: קבצים רגישים ומסמכים פנימיים

התוכנה הזדונית המשופרת מחפשת במיוחד קבצים עם הסיומות הבאות:

מסמכים ומצגות: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt

גיליונות אלקטרוניים וקבצי נתונים: .csv, .xls, .xlsx, .ods

ארכיונים וטקסטים: .rar, .zip, .eml, .txt

תמונות ותצורות: .jpeg, .jpg, .png, .sqlite, .ovpn

שינוי המיקוד הזה, מתיעוד דפדפן למסמכים עדכניים ורלוונטיים, מדגיש את תפקידה של GIFTEDCROOK באיסוף מודיעין ממוקד.

שיטות חילוץ: להישאר מתחת לרדאר

לאחר שהנוזקה אוספת את הקבצים הרצויים, היא דוחסת את הנתונים הגנובים לארכיון ZIP. אם הארכיון עולה על 20 מגה-בייט, הוא מפוצל לחלקים קטנים יותר. שברים אלה מסוננים דרך ערוץ טלגרם הנשלט על ידי התוקפים, שיטה המסייעת להתחמק מגילוי ולעקוף כלי אבטחת רשת מסורתיים.

כדי לטשטש את עקבותיה, בשלב הסופי מבוצע סקריפט אצווה, המסיר ראיות לתוכנה הזדונית מהמארח הנגוע.

ריגול אסטרטגי, לא רק גניבה

GIFTEDCROOK אינו רק כלי לגניבת אישורים, אלא גם כלי ריגול קיברנטי. יכולתו לאסוף מסמכים עדכניים ורגישים כגון גיליונות אלקטרוניים, קבצי PDF ותצורות VPN מעידה על כוונה מכוונת לחלץ מודיעין מעובדי המגזר הציבורי וממערכות פנימיות. הסיכונים משמעותיים: כל פגיעה בודדת עלולה לסכן רשתות מוסדיות שלמות.

תזמון גיאופוליטי ופיתוח מתואם

פריסת הנוזקה תואמת נקודות הבזק גיאופוליטיות, ובראשן המשא ומתן באיסטנבול בין אוקראינה לרוסיה. מתאם זה מצביע על כך שהשיפורים של GIFTEDCROOK לא היו מקריים אלא חלק מאסטרטגיית פיתוח מתואמת שמטרתה להרחיב את יכולות המעקב בהתאם לאירועים הפוליטיים.

סיכום: איום גובר המשקף את המתיחות הגלובלית

האבולוציה של GIFTEDCROOK, מגנב נתוני דפדפן צנוע לפלטפורמת ריגול מקיפה, משקפת את המורכבות הגוברת של איומי הסייבר העומדים בפני מוסדות לאומיים. התקדמות הגרסה של הנוזקה, בשילוב עם טקטיקות פישינג מעוצבות היטב ואיסוף נתונים חכם, משקפת את כוונתו הברורה של היריב להפוך חדירות דיגיטליות לנשק למטרות רווח אסטרטגי. כל מי שנמצא בתפקיד של טיפול במידע רגיש חייב להישאר ערני, זה כבר לא רק עניין של סיסמאות גנובות, אלא של לוחמת מידע בצורה דיגיטלית.