GIFTEDCROOK Perisian Hasad
Malware yang dikenali sebagai GIFTEDCROOK telah mengalami perubahan yang ketara. Pada asalnya direka sebagai pencuri data pelayar asas, ia kini telah matang menjadi alat pengintipan yang canggih dengan fokus strategik. Kempen terbaru yang diperhatikan pada Jun 2025 mendedahkan peningkatan yang membimbangkan: perisian hasad kini menyasarkan dokumen sensitif dan fail proprietari daripada peranti yang terjejas, terutamanya yang dimiliki oleh kerajaan dan kakitangan tentera Ukraine.
Isi kandungan
Serangan Bersasar ke atas Institusi Ukraine
GIFTEDCROOK pertama kali ditemui pada April 2025, apabila penyelidik mengaitkannya dengan kempen pancingan data yang ditujukan kepada entiti tentera, agensi penguatkuasaan undang-undang dan badan kerajaan tempatan di Ukraine. Kempen ini dikaitkan dengan kumpulan pelakon ancaman UAC-0226, yang memanfaatkan dokumen Microsoft Excel bercampur makro untuk menghantar muatan perisian hasad melalui e-mel pancingan data.
Mesej pancingan data sering meniru komunikasi rasmi, menggunakan gewang PDF bertemakan tentera untuk menipu penerima supaya mengklik pautan storan awan Mega. Pautan ini mengehoskan fail Excel yang didayakan makro bertajuk 'Список оповіщених військовозобов'язаних організації 609528.xlsm'. Setelah makro didayakan, GIFTEDCROOK dimuat turun secara senyap ke sistem sasaran.
Perkara Yang Dicuri GIFTEDCROOK: Meluaskan Jangkauannya
Pada terasnya, GIFTEDCROOK kekal sebagai pencuri maklumat. Pada mulanya menumpukan pada mengekstrak data penyemak imbas, perisian hasad direka untuk mengumpul kuki, sejarah penyemakan imbas dan bukti kelayakan pengesahan daripada pelayar utama seperti Google Chrome, Microsoft Edge dan Mozilla Firefox.
Walau bagaimanapun, dari masa ke masa, keupayaan GIFTEDCROOK telah berkembang dengan ketara. Bermula sebagai varian tunjuk cara pada Februari 2025, versi 1.2 dan 1.3 yang lebih baharu memperkenalkan ciri penyingkiran data yang berkuasa, terutamanya keupayaan untuk menyasarkan fail bersaiz di bawah 7 MB dan diubah suai dalam tempoh 45 hari yang lalu.
Sasaran Baharu: Fail Sensitif dan Dokumen Dalaman
Perisian hasad yang dipertingkatkan secara khusus mencari fail dengan sambungan berikut:
Dokumen dan Persembahan: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Hamparan dan Fail Data: .csv, .xls, .xlsx, .ods
Arkib dan Teks: .rar, .zip, .eml, .txt
Imej dan Konfigurasi: .jpeg, .jpg, .png, .sqlite, .ovpn
Peralihan fokus ini, daripada bukti kelayakan penyemak imbas kepada dokumen terkini dan berkaitan, menggariskan peranan GIFTEDCROOK dalam pengumpulan risikan yang disasarkan.
Kaedah Eksfiltrasi: Kekal Di Bawah Radar
Setelah perisian hasad mengumpul fail yang dikehendaki, ia memampatkan data yang dicuri ke dalam arkib ZIP. Jika arkib melebihi 20 MB, ia dibahagikan kepada bahagian yang lebih kecil. Serpihan ini dieksfiltrasi melalui saluran Telegram yang dikawal oleh penyerang, kaedah yang membantu mengelak pengesanan dan memintas alat keselamatan rangkaian tradisional.
Untuk menutup jejaknya, skrip kelompok dilaksanakan pada peringkat akhir, mengalih keluar bukti perisian hasad daripada hos yang dijangkiti.
Pengintipan Strategik, Bukan Sekadar Kecurian
GIFTEDCROOK bukan semata-mata pencuri kelayakan, ia adalah alat pengintipan siber. Kapasitinya untuk menuai dokumen terkini dan sensitif seperti hamparan, PDF dan konfigurasi VPN menunjukkan niat yang disengajakan untuk mengeluarkan risikan daripada pekerja sektor awam dan sistem dalaman. Risikonya adalah besar: sebarang kompromi individu boleh membahayakan keseluruhan rangkaian institusi.
Masa Geopolitik dan Pembangunan Terselaras
Pengerahan perisian hasad sejajar dengan titik kilat geopolitik, terutamanya rundingan Istanbul antara Ukraine dan Rusia. Korelasi ini menunjukkan bahawa peningkatan GIFTEDCROOK bukan secara kebetulan tetapi sebahagian daripada strategi pembangunan yang diselaraskan bertujuan untuk mengembangkan keupayaan pengawasan sejajar dengan peristiwa politik.
Kesimpulan: Ancaman Meningkat Yang Mencerminkan Ketegangan Global
Evolusi GIFTEDCROOK, daripada pencuri data pelayar yang sederhana kepada platform pengintipan spektrum penuh, mencerminkan peningkatan kerumitan ancaman siber yang dihadapi oleh institusi negara. Perkembangan versi perisian hasad, dipasangkan dengan taktik pancingan data yang direka dengan baik dan pengumpulan data pintar, mencerminkan niat jelas musuh untuk menggunakan pencerobohan digital untuk keuntungan strategik. Sesiapa yang berada dalam kedudukan mengendalikan maklumat sensitif mesti sentiasa berwaspada, ini bukan lagi tentang kata laluan yang dicuri, tetapi peperangan maklumat dalam bentuk digital.
