Zlonamjerni softver GIFTEDCROOK
Zlonamjerni softver poznat kao GIFTEDCROOK doživio je značajnu transformaciju. Izvorno dizajniran kao osnovni kradljivac podataka iz preglednika, sada je sazrio u sofisticirani alat za špijunažu sa strateškim fokusom. Nedavne kampanje promatrane u lipnju 2025. otkrivaju alarmantno poboljšanje: zlonamjerni softver sada cilja osjetljive dokumente i vlasničke datoteke s kompromitiranih uređaja, posebno onih koji pripadaju ukrajinskoj vladi i vojnom osoblju.
Sadržaj
Ciljani napad na ukrajinske institucije
GIFTEDCROOK je prvi put otkriven u travnju 2025. godine, kada su ga istraživači povezali s phishing kampanjama usmjerenim na vojne subjekte, agencije za provođenje zakona i lokalna tijela vlasti u Ukrajini. Ove kampanje pripisuju se skupini prijetnji UAC-0226, koja koristi makronaredne Microsoft Excel dokumente za isporuku zlonamjernog softvera putem phishing e-poruka.
Phishing poruke često oponašaju službenu komunikaciju, koristeći PDF mamce s vojnom tematikom kako bi prevarile primatelje da kliknu na poveznicu Mega cloud storage. Ova poveznica sadrži Excel datoteku s omogućenim makroima pod nazivom 'Popis opoviještenih vojskovozobov'vezanih organizacija 609528.xlsm'. Nakon što su makroi omogućeni, GIFTEDCROOK se tiho preuzima na ciljni sustav.
Što GIFTEDCROOK krade: Širenje dosega
U svojoj srži, GIFTEDCROOK ostaje kradljivac informacija. U početku usmjeren na izvlačenje podataka preglednika, zlonamjerni softver dizajniran je za prikupljanje kolačića, povijesti pregledavanja i vjerodajnica za autentifikaciju iz glavnih preglednika kao što su Google Chrome, Microsoft Edge i Mozilla Firefox.
Međutim, s vremenom su se mogućnosti GIFTEDCROOK-a značajno proširile. Počevši kao demo varijanta u veljači 2025., novije verzije 1.2 i 1.3 uvele su moćne značajke izvlačenja podataka, posebno mogućnost ciljanja datoteka veličine manje od 7 MB i modificiranih u posljednjih 45 dana.
Novi ciljevi: Osjetljive datoteke i interni dokumenti
Poboljšani zlonamjerni softver posebno traži datoteke sa sljedećim ekstenzijama:
Dokumenti i prezentacije: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Proračunske tablice i podatkovne datoteke: .csv, .xls, .xlsx, .ods
Arhive i tekstovi: .rar, .zip, .eml, .txt
Slike i konfiguracije: .jpeg, .jpg, .png, .sqlite, .ovpn
Ova promjena fokusa, s podataka preglednika na nedavne i relevantne dokumente, naglašava ulogu GIFTEDCROOK-a u ciljanom prikupljanju obavještajnih podataka.
Metode izvlačenja: Ostanak ispod radara
Nakon što zlonamjerni softver prikupi željene datoteke, komprimira ukradene podatke u ZIP arhivu. Ako arhiva prelazi 20 MB, dijeli se na manje dijelove. Ti se fragmenti izvlače putem Telegram kanala kojim upravljaju napadači, metodom koja pomaže u izbjegavanju otkrivanja i zaobilaženju tradicionalnih alata za mrežnu sigurnost.
Kako bi se prikrili tragovi, u završnoj fazi se izvršava batch skripta, uklanjajući dokaze o zlonamjernom softveru sa zaraženog hosta.
Strateška špijunaža, ne samo krađa
GIFTEDCROOK nije samo kradljivac vjerodajnica, već alat za kibernetičku špijunažu. Njegova sposobnost prikupljanja nedavnih i osjetljivih dokumenata poput proračunskih tablica, PDF-ova i VPN konfiguracija ukazuje na namjeru izvlačenja obavještajnih podataka od radnika javnog sektora i internih sustava. Rizici su značajni: svako pojedinačno kompromitiranje može ugroziti cijele institucionalne mreže.
Geopolitički tajming i koordinirani razvoj
Raspoređivanje zlonamjernog softvera poklapa se s geopolitičkim žarištima, posebno s istanbulskim pregovorima između Ukrajine i Rusije. Ova korelacija sugerira da poboljšanja GIFTEDCROOK-a nisu bila slučajna, već dio koordinirane razvojne strategije usmjerene na proširenje nadzornih mogućnosti u skladu s političkim događajima.
Zaključak: Rastuća prijetnja koja odražava globalne napetosti
Evolucija GIFTEDCROOK-a, od skromnog kradljivca podataka preglednika do platforme za špijunažu punog spektra, odražava sve veću složenost kibernetičkih prijetnji s kojima se suočavaju nacionalne institucije. Napredak verzija zlonamjernog softvera, uparen s dobro osmišljenim taktikama krađe identiteta i inteligentnim prikupljanjem podataka, odražava jasnu namjeru protivnika da digitalne upade iskoristi kao oružje za strateške dobitke. Svatko tko je u poziciji da rukuje osjetljivim informacijama mora ostati oprezan, ovo više nije samo o ukradenim lozinkama, već o informacijskom ratovanju u digitalnom obliku.
