GIFTEDCROOK kenkėjiška programa
Kenkėjiška programa, žinoma kaip GIFTEDCROOK, patyrė reikšmingą transformaciją. Iš pradžių sukurta kaip paprasta naršyklės duomenų vagystė, dabar ji subrendo į sudėtingą šnipinėjimo įrankį su strateginiu tikslu. Naujausios 2025 m. birželio mėn. stebėtos kampanijos atskleidžia nerimą keliantį patobulėjimą: kenkėjiška programa dabar taikosi į slaptus dokumentus ir nuosavybės teise saugomus failus iš pažeistų įrenginių, ypač tų, kurie priklauso Ukrainos vyriausybei ir kariškiams.
Turinys
Tikslinis išpuolis prieš Ukrainos institucijas
„GIFTEDCROOK“ pirmą kartą buvo aptiktas 2025 m. balandžio mėn., kai tyrėjai jį susiejo su sukčiavimo kampanijomis, nukreiptomis prieš karines įstaigas, teisėsaugos institucijas ir vietos valdžios įstaigas Ukrainoje. Šios kampanijos priskiriamos kenkėjiškų programų grupei UAC-0226, kuri naudoja makrokomandomis papildytus „Microsoft Excel“ dokumentus, kad kenkėjiškų programų siuntimo metu naudotų sukčiavimo el. laiškus.
Sukčiavimo žinutėse dažnai imituojamas oficialus bendravimas, naudojamos karinės tematikos PDF masalai, siekiant apgauti gavėjus, kad jie spustelėtų „Mega“ debesies saugyklos nuorodą. Šioje nuorodoje yra makrokomandas palaikantis „Excel“ failas pavadinimu „Список оповіщених військовозобов'язаних організації 609528.xlsm“. Įgalinus makrokomandas, GIFTEDCROOK tyliai atsisiunčiamas į tikslinę sistemą.
Ką vagia GIFTEDCROOK: plečia savo pasiekiamumą
Iš esmės GIFTEDCROOK išlieka informacijos vagimi. Iš pradžių kenkėjiška programa, skirta naršyklės duomenų išgavimui, yra sukurta rinkti slapukus, naršymo istoriją ir autentifikavimo duomenis iš pagrindinių naršyklių, tokių kaip „Google Chrome“, „Microsoft Edge“ ir „Mozilla Firefox“.
Tačiau laikui bėgant „GIFTEDCROOK“ galimybės gerokai išsiplėtė. Naujesnėse 1.2 ir 1.3 versijose, kurios buvo išleistos kaip demonstracinė versija 2025 m. vasarį, buvo įdiegtos galingos duomenų išgavimo funkcijos, ypač galimybė taikytis į failus, mažesnius nei 7 MB ir modifikuotus per pastarąsias 45 dienas.
Nauji taikiniai: neskelbtini failai ir vidiniai dokumentai
Patobulinta kenkėjiška programa ieško failų su šiais plėtiniais:
Dokumentai ir pristatymai: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Skaičiuoklės ir duomenų failai: .csv, .xls, .xlsx, .ods
Archyvai ir tekstai: .rar, .zip, .eml, .txt
Vaizdai ir konfigūracijos: .jpeg, .jpg, .png, .sqlite, .ovpn
Šis dėmesio pokytis – nuo naršyklės prisijungimo duomenų prie naujausių ir aktualių dokumentų – pabrėžia GIFTEDCROOK vaidmenį tiksliniame žvalgybos informacijos rinkime.
Eksfiltracijos metodai: kaip likti nepastebėtam
Kai kenkėjiška programa surenka norimus failus, pavogtus duomenis ji suspaudžia į ZIP archyvą. Jei archyvo dydis viršija 20 MB, jis padalijamas į mažesnes dalis. Šie fragmentai išfiltruojami per užpuolikų kontroliuojamą „Telegram“ kanalą – metodą, kuris padeda išvengti aptikimo ir apeiti tradicines tinklo saugumo priemones.
Siekiant paslėpti pėdsakus, paskutiniame etape vykdomas paketinis scenarijus, kuris pašalina kenkėjiškos programos buvimo įrodymus iš užkrėsto kompiuterio.
Strateginis šnipinėjimas, ne tik vagystė
„GIFTEDCROOK“ yra ne tik kredencialų vagystė, bet ir kibernetinio šnipinėjimo įrankis. Jo gebėjimas rinkti naujausius ir slaptus dokumentus, tokius kaip skaičiuoklės, PDF failai ir VPN konfigūracijos, rodo sąmoningą ketinimą išgauti žvalgybinę informaciją iš viešojo sektoriaus darbuotojų ir vidinių sistemų. Rizika yra didelė: bet koks individualus įsilaužimas gali kelti grėsmę ištisiems instituciniams tinklams.
Geopolitinis laikas ir koordinuotas vystymasis
Kenkėjiškos programos diegimas sutampa su geopolitiniais konfliktais, ypač su Ukrainos ir Rusijos derybomis Stambule. Ši koreliacija rodo, kad GIFTEDCROOK patobulinimai nebuvo atsitiktiniai, o buvo koordinuotos plėtros strategijos, kuria siekiama plėsti stebėjimo galimybes atsižvelgiant į politinius įvykius, dalis.
Išvada: auganti grėsmė, atspindinti pasaulinę įtampą
„GIFTEDCROOK“ evoliucija – nuo kuklaus naršyklės duomenų vagies iki plataus spektro šnipinėjimo platformos – atspindi didėjantį kibernetinių grėsmių, su kuriomis susiduria nacionalinės institucijos, sudėtingumą. Kenkėjiškos programos versijų tobulėjimas, kartu su gerai parengta sukčiavimo taktika ir išmaniu duomenų rinkimu, atspindi aiškų priešininko ketinimą panaudoti skaitmeninius įsilaužimus kaip ginklą strateginei naudai gauti. Kiekvienas, dirbantis su slapta informacija, privalo išlikti budrus, nes tai ne tik pavogti slaptažodžiai, bet ir informacinis karas skaitmenine forma.
