GIFTEDCROOK kártevő
A GIFTEDCROOK néven ismert rosszindulatú program jelentős átalakuláson ment keresztül. Eredetileg egyszerű böngészőadat-lopóként tervezték, mára egy kifinomult, stratégiai fókuszú kémeszközzé fejlődött. A 2025 júniusában megfigyelt legutóbbi kampányok riasztó fejleményeket mutatnak: a rosszindulatú program mostantól a feltört eszközökről, különösen az ukrán kormány és katonai személyzet eszközeiről származó érzékeny dokumentumokat és üzleti titkokat célozza meg.
Tartalomjegyzék
Célzott támadás az ukrán intézmények ellen
A GIFTEDCROOK vírust először 2025 áprilisában fedezték fel, amikor a kutatók Ukrajnában katonai szervezetek, bűnüldöző szervek és helyi önkormányzatok ellen indított adathalász kampányokhoz kötötték. Ezeket a kampányokat az UAC-0226 nevű fenyegetéscsoportnak tulajdonítják, amely makrókkal teli Microsoft Excel dokumentumokat használ fel a rosszindulatú programok adathalász e-maileken keresztüli eljuttatására.
Az adathalász üzenetek gyakran utánozzák a hivatalos kommunikációt, katonai témájú PDF-csalikkal próbálják rávenni a címzetteket, hogy rákattintsanak egy Mega felhőtárhely-hivatkozásra. Ez a hivatkozás egy makrókkal támogatott Excel-fájlt tartalmaz, melynek címe: „Список оповіщених військовозобов'язаних організації 609528.xlsm”. A makrók engedélyezése után a GIFTEDCROOK csendben letöltődik a célrendszerre.
Amit a GIFTEDCROOK ellop: Kiterjeszti elérhetőségét
A GIFTEDCROOK alapvetően továbbra is információlopó. Kezdetben a böngészési adatok kinyerésére összpontosított, a rosszindulatú program sütiket, böngészési előzményeket és hitelesítési adatokat gyűjt a nagyobb böngészőkből, például a Google Chrome-ból, a Microsoft Edge-ből és a Mozilla Firefoxból.
Idővel azonban a GIFTEDCROOK képességei jelentősen kibővültek. A 2025 februárjában demóváltozatként indult újabb 1.2-es és 1.3-as verziók hatékony adat-kiszűrési funkciókat vezettek be, különösen a 7 MB-nál kisebb és az elmúlt 45 napban módosított fájlok célzásának lehetőségét.
Új célpontok: Bizalmas fájlok és belső dokumentumok
A továbbfejlesztett kártevő kifejezetten a következő kiterjesztésű fájlokat keresi:
Dokumentumok és prezentációk: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Táblázatok és adatfájlok: .csv, .xls, .xlsx, .ods
Archívumok és szövegek: .rar, .zip, .eml, .txt
Képek és konfigurációk: .jpeg, .jpg, .png, .sqlite, .ovpn
Ez a fókuszváltás, a böngésző hitelesítő adatairól a legfrissebb és releváns dokumentumokra, aláhúzza a GIFTEDCROOK szerepét a célzott hírszerzésben.
Kiszivárgási módszerek: Maradjunk a radar alatt
Miután a rosszindulatú program összegyűjtötte a kívánt fájlokat, ZIP archívumba tömöríti az ellopott adatokat. Ha az archívum mérete meghaladja a 20 MB-ot, kisebb részekre bontja. Ezeket a töredékeket a támadók által ellenőrzött Telegram csatornán keresztül szivárogtatja ki, ami segít elkerülni az észlelést és megkerülni a hagyományos hálózati biztonsági eszközöket.
A nyomok eltüntetése érdekében egy kötegelt szkriptet futtatnak le az utolsó szakaszban, amely eltávolítja a rosszindulatú program bizonyítékait a fertőzött gazdagépről.
Stratégiai kémkedés, nem csak lopás
A GIFTEDCROOK nem pusztán egy hitelesítő adatok ellopására szolgáló eszköz, hanem egy kiberkémkedési eszköz. A friss és érzékeny dokumentumok, például táblázatok, PDF-ek és VPN-konfigurációk megszerzésére való képessége a közszféra dolgozóitól és a belső rendszerektől való információszerzés szándékos szándékát jelzi. A kockázatok jelentősek: bármilyen egyedi behatolás veszélyeztetheti az egész intézményi hálózatokat.
Geopolitikai időzítés és összehangolt fejlődés
A rosszindulatú program telepítése geopolitikai konfliktusokkal, nevezetesen az Ukrajna és Oroszország közötti isztambuli tárgyalásokkal van egy vonalban. Ez az összefüggés arra utal, hogy a GIFTEDCROOK fejlesztései nem véletlenek voltak, hanem egy összehangolt fejlesztési stratégia részét képezték, amelynek célja a megfigyelési képességek bővítése a politikai eseményekkel összhangban.
Következtetés: Egy növekvő fenyegetés, amely tükrözi a globális feszültségeket
A GIFTEDCROOK fejlődése egy szerény böngészőadat-tolvajból egy teljes spektrumú kémplatformmá tükrözi a nemzeti intézményeket érintő kiberfenyegetések növekvő összetettségét. A rosszindulatú program verziószámának fejlődése, a jól kidolgozott adathalász taktikákkal és az intelligens adatgyűjtéssel párosulva, tükrözi az ellenfél egyértelmű szándékát, hogy digitális behatolásokat fegyverként használjon stratégiai haszonszerzés céljából. Bárkinek, aki érzékeny információkat kezel, ébernek kell maradnia, mivel ez már nem csak ellopott jelszavakról szól, hanem digitális formában zajló információs hadviselésről.
