GIFTEDCROOK-skadevare
Skadevaren kjent som GIFTEDCROOK har gjennomgått en betydelig transformasjon. Opprinnelig utviklet som en enkel nettleserdatatyver, har den nå modnet til et sofistikert spionasjeverktøy med et strategisk fokus. Nylige kampanjer observert i juni 2025 avslører en alarmerende forbedring: skadevaren retter seg nå mot sensitive dokumenter og proprietære filer fra kompromitterte enheter, spesielt de som tilhører den ukrainske regjeringen og militært personell.
Innholdsfortegnelse
Et målrettet angrep på ukrainske institusjoner
GIFTEDCROOK ble først oppdaget i april 2025, da forskere koblet det til phishing-kampanjer rettet mot militære enheter, politimyndigheter og lokale myndigheter i Ukraina. Disse kampanjene tilskrives trusselaktørgruppen UAC-0226, som bruker makro-tilkoblede Microsoft Excel-dokumenter for å levere skadelig programvare via phishing-e-poster.
Phishing-meldingene etterligner ofte offisiell kommunikasjon, og bruker militærinspirerte PDF-lokkemidler for å lure mottakerne til å klikke på en Mega Cloud Storage-lenke. Denne lenken er vert for en makroaktivert Excel-fil med tittelen 'Список оповіщених військовозобов'язаних організації 609528.xlsm'. Når makroer er aktivert, lastes GIFTEDCROOK ned i stillhet til målsystemet.
Hva GIFTEDCROOK stjeler: Utvider rekkevidden
I kjernen er GIFTEDCROOK fortsatt en informasjonstyver. Skadevaren, som i utgangspunktet fokuserte på å utvinne nettleserdata, er designet for å samle inn informasjonskapsler, nettleserlogg og autentiseringsinformasjon fra store nettlesere som Google Chrome, Microsoft Edge og Mozilla Firefox.
Over tid har imidlertid GIFTEDCROOKs muligheter blitt betydelig utvidet. Fra og med en demovariant i februar 2025 introduserte nyere versjoner 1.2 og 1.3 kraftige datautfiltreringsfunksjoner, spesielt muligheten til å målrette filer under 7 MB og som er endret i løpet av de siste 45 dagene.
Nye mål: Sensitive filer og interne dokumenter
Den forbedrede skadelige programvaren søker spesifikt etter filer med følgende filtyper:
Dokumenter og presentasjoner: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Regneark og datafiler: .csv, .xls, .xlsx, .ods
Arkiver og tekster: .rar, .zip, .eml, .txt
Bilder og konfigurasjoner: .jpeg, .jpg, .png, .sqlite, .ovpn
Dette skiftet i fokus, fra nettleserlegitimasjon til nyere og relevante dokumenter, understreker GIFTEDCROOKs rolle i målrettet etterretningsinnsamling.
Eksfiltreringsmetoder: Hold deg under radaren
Når skadevaren samler de ønskede filene, komprimerer den de stjålne dataene til et ZIP-arkiv. Hvis arkivet overstiger 20 MB, deles det opp i mindre deler. Disse fragmentene eksfiltreres via en Telegram-kanal kontrollert av angriperne, en metode som bidrar til å unngå oppdagelse og omgå tradisjonelle nettverkssikkerhetsverktøy.
For å dekke over sporene kjøres et batch-skript i siste fase, som fjerner bevis på skadevaren fra den infiserte verten.
Strategisk spionasje, ikke bare tyveri
GIFTEDCROOK er ikke bare en legitimasjonstyver, det er et cyberspionasjeverktøy. Kapasiteten til å samle inn nye og sensitive dokumenter som regneark, PDF-er og VPN-konfigurasjoner indikerer en bevisst intensjon om å hente ut etterretning fra offentlig ansatte og interne systemer. Risikoen er betydelig: ethvert enkelt kompromiss kan sette hele institusjonelle nettverk i fare.
Geopolitisk timing og koordinert utvikling
Utplasseringen av skadevaren samsvarer med geopolitiske kriser, særlig Istanbul-forhandlingene mellom Ukraina og Russland. Denne korrelasjonen antyder at forbedringene av GIFTEDCROOK ikke var tilfeldige, men en del av en koordinert utviklingsstrategi som hadde som mål å utvide overvåkingskapasiteten i tråd med politiske hendelser.
Konklusjon: En voksende trussel som speiler globale spenninger
Utviklingen av GIFTEDCROOK, fra en beskjeden nettleserdatatyv til en fullspektret spionasjeplattform, speiler den økende kompleksiteten til cybertruslene som nasjonale institusjoner står overfor. Skadevarens versjonsutvikling, kombinert med velutviklede phishing-taktikker og intelligent datainnsamling, gjenspeiler motstanderens klare intensjon om å bruke digitale inntrengere som våpen for strategisk gevinst. Alle som er i en posisjon der de håndterer sensitiv informasjon må forbli årvåkne. Dette handler ikke lenger bare om stjålne passord, men informasjonskrigføring i digital form.
