GIFTEDCROOK ļaunprogrammatūra
Ļaunprogrammatūra, kas pazīstama kā GIFTEDCROOK, ir piedzīvojusi ievērojamas pārmaiņas. Sākotnēji tā bija izstrādāta kā vienkāršs pārlūkprogrammas datu zaglis, taču tagad tā ir nobriedusi par sarežģītu spiegošanas rīku ar stratēģisku mērķi. Nesenās kampaņas, kas novērotas 2025. gada jūnijā, atklāj satraucošu uzlabojumu: ļaunprogrammatūra tagad ir vērsta uz sensitīviem dokumentiem un patentētiem failiem no apdraudētām ierīcēm, jo īpaši tām, kas pieder Ukrainas valdībai un militārajam personālam.
Satura rādītājs
Mērķtiecīgs uzbrukums Ukrainas institūcijām
GIFTEDCROOK pirmo reizi tika atklāts 2025. gada aprīlī, kad pētnieki to saistīja ar pikšķerēšanas kampaņām, kas bija vērstas pret militārajām struktūrām, tiesībaizsardzības iestādēm un vietējām pašvaldībām Ukrainā. Šīs kampaņas tiek piedēvētas apdraudējumu izpildītāju grupai UAC-0226, kas izmanto ar makro piesūcinātus Microsoft Excel dokumentus, lai piegādātu ļaunprogrammatūras vērtumu, izmantojot pikšķerēšanas e-pastus.
Pikšķerēšanas ziņojumi bieži atdarina oficiālu saziņu, izmantojot militāras tematikas PDF ēsmas, lai apmānītu adresātus, liekot tiem noklikšķināt uz Mega mākoņkrātuves saites. Šajā saitē ir ievietots ar makro iespējots Excel fails ar nosaukumu “Список оповіщених військовозобов'язаних організації 609528.xlsm”. Kad makro ir iespējoti, GIFTEDCROOK tiek nemanāmi lejupielādēts mērķa sistēmā.
Ko GIFTEDCROOK nozog: paplašina savu sasniedzamību
Pēc būtības GIFTEDCROOK joprojām ir informācijas zaglis. Sākotnēji koncentrējoties uz pārlūkprogrammas datu iegūšanu, ļaunprogrammatūra ir izstrādāta, lai apkopotu sīkfailus, pārlūkošanas vēsturi un autentifikācijas akreditācijas datus no tādām populārākajām pārlūkprogrammām kā Google Chrome, Microsoft Edge un Mozilla Firefox.
Tomēr laika gaitā GIFTEDCROOK iespējas ir ievērojami paplašinājušās. Sākotnēji tā bija demonstrācijas versija 2025. gada februārī, jaunākās versijas 1.2 un 1.3 ieviesa jaudīgas datu eksfiltrācijas funkcijas, jo īpaši iespēju atlasīt failus, kuru lielums ir mazāks par 7 MB un kuri ir modificēti pēdējo 45 dienu laikā.
Jauni mērķi: sensitīvas datnes un iekšējie dokumenti
Uzlabotā ļaunprogrammatūra īpaši meklē failus ar šādiem paplašinājumiem:
Dokumenti un prezentācijas: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Izklājlapas un datu faili: .csv, .xls, .xlsx, .ods
Arhīvi un teksti: .rar, .zip, .eml, .txt
Attēli un konfigurācijas: .jpeg, .jpg, .png, .sqlite, .ovpn
Šī uzmanības pāreja no pārlūkprogrammas akreditācijas datiem uz jaunākajiem un attiecīgajiem dokumentiem uzsver GIFTEDCROOK lomu mērķtiecīgā izlūkdienestu vākšanā.
Eksfiltrācijas metodes: palikt nepamanītam
Kad ļaunprogrammatūra ir savākusi vēlamos failus, tā saspiež nozagtos datus ZIP arhīvā. Ja arhīva lielums pārsniedz 20 MB, tas tiek sadalīts mazākās daļās. Šie fragmenti tiek izfiltrēti, izmantojot uzbrucēju kontrolētu Telegram kanālu, un šī metode palīdz izvairīties no atklāšanas un apiet tradicionālos tīkla drošības rīkus.
Lai slēptu pēdas, pēdējā posmā tiek izpildīts pakešskripts, kas no inficētā resursdatora noņem ļaunprogrammatūras pierādījumus.
Stratēģiskā spiegošana, ne tikai zādzība
GIFTEDCROOK nav tikai akreditācijas datu zaglis, tas ir kiberizlūkošanas rīks. Tā spēja iegūt jaunākos un sensitīvos dokumentus, piemēram, izklājlapas, PDF failus un VPN konfigurācijas, liecina par apzinātu nodomu iegūt izlūkdatus no publiskā sektora darbiniekiem un iekšējām sistēmām. Riski ir ievērojami: jebkura atsevišķa kompromitēšana var apdraudēt veselus iestāžu tīklus.
Ģeopolitiskā laika noteikšana un koordinēta attīstība
Ļaunprogrammatūras izvietošana sakrīt ar ģeopolitiskiem konfliktiem, īpaši Stambulas sarunām starp Ukrainu un Krieviju. Šī korelācija liecina, ka GIFTEDCROOK uzlabojumi nebija nejaušība, bet gan daļa no koordinētas attīstības stratēģijas, kuras mērķis bija paplašināt novērošanas iespējas atbilstoši politiskajiem notikumiem.
Secinājums: pieaugošs drauds, kas atspoguļo globālo spriedzi
GIFTEDCROOK evolūcija no pieticīga pārlūkprogrammas datu zagļa līdz pilna spektra spiegošanas platformai atspoguļo pieaugošo kiberdraudu sarežģītību, ar ko saskaras valstu iestādes. Ļaunprogrammatūras versiju attīstība apvienojumā ar labi izstrādātu pikšķerēšanas taktiku un inteliģentu datu vākšanu atspoguļo pretinieka skaidro nodomu izmantot digitālus ielaušanās ieročus stratēģisku ieguvumu gūšanai. Ikvienam, kurš strādā ar sensitīvu informāciju, ir jāpaliek modram, jo vairs nav runa tikai par nozagtām parolēm, bet gan par informācijas karu digitālā formātā.
