Malware GIFTEDCROOK
Il malware noto come GIFTEDCROOK ha subito una significativa trasformazione. Originariamente concepito come un semplice ladro di dati del browser, si è ora evoluto in un sofisticato strumento di spionaggio con un focus strategico. Le recenti campagne osservate nel giugno 2025 rivelano un allarmante miglioramento: il malware ora prende di mira documenti sensibili e file proprietari provenienti da dispositivi compromessi, in particolare quelli appartenenti al governo ucraino e al personale militare.
Sommario
Un attacco mirato alle istituzioni ucraine
GIFTEDCROOK è stato scoperto per la prima volta nell'aprile 2025, quando i ricercatori lo hanno collegato a campagne di phishing rivolte a enti militari, forze dell'ordine ed enti governativi locali in Ucraina. Queste campagne sono attribuite al gruppo di attori di minaccia UAC-0226, che sfrutta documenti Microsoft Excel con macro per diffondere il payload del malware tramite email di phishing.
I messaggi di phishing spesso imitano le comunicazioni ufficiali, utilizzando esche PDF a tema militare per indurre i destinatari a cliccare su un link di archiviazione cloud Mega. Questo link ospita un file Excel con macro abilitate, intitolato "Список оповіщених військовозобов'язаних організації 609528.xlsm". Una volta abilitate le macro, GIFTEDCROOK viene scaricato silenziosamente sul sistema di destinazione.
Cosa ruba GIFTEDCROOK: espandere la sua portata
In sostanza, GIFTEDCROOK rimane un ladro di informazioni. Inizialmente concentrato sull'estrazione di dati dal browser, il malware è progettato per raccogliere cookie, cronologia di navigazione e credenziali di autenticazione dai principali browser come Google Chrome, Microsoft Edge e Mozilla Firefox.
Nel tempo, tuttavia, le capacità di GIFTEDCROOK si sono notevolmente ampliate. Lanciata come versione demo nel febbraio 2025, le versioni più recenti 1.2 e 1.3 hanno introdotto potenti funzionalità di esfiltrazione dei dati, in particolare la possibilità di individuare file di dimensioni inferiori a 7 MB e modificati negli ultimi 45 giorni.
Nuovi obiettivi: file sensibili e documenti interni
Il malware potenziato cerca specificamente i file con le seguenti estensioni:
Documenti e presentazioni: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Fogli di calcolo e file di dati: .csv, .xls, .xlsx, .ods
Archivi e testi: .rar, .zip, .eml, .txt
Immagini e configurazioni: .jpeg, .jpg, .png, .sqlite, .ovpn
Questo spostamento di attenzione, dalle credenziali del browser ai documenti recenti e pertinenti, sottolinea il ruolo di GIFTEDCROOK nella raccolta mirata di informazioni.
Metodi di esfiltrazione: restare sotto il radar
Una volta raccolti i file desiderati, il malware comprime i dati rubati in un archivio ZIP. Se l'archivio supera i 20 MB, viene suddiviso in parti più piccole. Questi frammenti vengono esfiltrati tramite un canale Telegram controllato dagli aggressori, un metodo che aiuta a eludere il rilevamento e a bypassare i tradizionali strumenti di sicurezza di rete.
Per coprirne le tracce, nella fase finale viene eseguito uno script batch, che rimuove le prove del malware dall'host infetto.
Spionaggio strategico, non solo furto
GIFTEDCROOK non è semplicemente un ladro di credenziali, è uno strumento di spionaggio informatico. La sua capacità di raccogliere documenti recenti e sensibili come fogli di calcolo, PDF e configurazioni VPN indica un'intenzione deliberata di estrarre informazioni di intelligence dai dipendenti del settore pubblico e dai sistemi interni. I rischi sono sostanziali: qualsiasi compromissione individuale può mettere a repentaglio intere reti istituzionali.
Tempistica geopolitica e sviluppo coordinato
L'implementazione del malware è in linea con i punti critici geopolitici, in particolare i negoziati di Istanbul tra Ucraina e Russia. Questa correlazione suggerisce che i miglioramenti di GIFTEDCROOK non siano stati casuali, ma parte di una strategia di sviluppo coordinata volta ad ampliare le capacità di sorveglianza in linea con gli eventi politici.
Conclusione: una minaccia crescente che rispecchia le tensioni globali
L'evoluzione di GIFTEDCROOK, da un modesto ladro di dati di browser a una piattaforma di spionaggio a spettro completo, rispecchia la crescente complessità delle minacce informatiche che le istituzioni nazionali devono affrontare. La progressione della versione del malware, abbinata a tattiche di phishing ben congegnate e a una raccolta dati intelligente, riflette la chiara intenzione dell'avversario di utilizzare le intrusioni digitali come arma per ottenere vantaggi strategici. Chiunque gestisca informazioni sensibili deve rimanere vigile: non si tratta più solo di password rubate, ma di una guerra informatica in formato digitale.
