GIFTEDCROOK-malware
De malware GIFTEDCROOK heeft een aanzienlijke transformatie ondergaan. Oorspronkelijk ontworpen als een simpele browserdata-stealer, is het inmiddels uitgegroeid tot een geavanceerde spionagetool met een strategische focus. Recente campagnes die in juni 2025 werden waargenomen, laten een alarmerende verbetering zien: de malware richt zich nu op gevoelige documenten en bedrijfseigen bestanden van gecompromitteerde apparaten, met name die van de Oekraïense overheid en militair personeel.
Inhoudsopgave
Een gerichte aanval op Oekraïense instellingen
GIFTEDCROOK werd voor het eerst ontdekt in april 2025, toen onderzoekers het koppelden aan phishingcampagnes gericht op militaire entiteiten, wetshandhavingsinstanties en lokale overheidsinstanties in Oekraïne. Deze campagnes worden toegeschreven aan de cybercriminele groep UAC-0226, die gebruikmaakt van Microsoft Excel-documenten met macro's om de malware via phishingmails te verspreiden.
De phishingberichten imiteren vaak officiële communicatie en gebruiken PDF-lokmiddelen met een militair thema om ontvangers te verleiden op een link naar Mega Cloud Storage te klikken. Deze link bevat een Excel-bestand met macro's genaamd 'Список оповіщених військовозобов'язаних організації 609528.xlsm'. Zodra macro's zijn ingeschakeld, wordt GIFTEDCROOK stilletjes gedownload naar het doelsysteem.
Wat GIFTEDCROOK steelt: zijn bereik uitbreiden
In de kern blijft GIFTEDCROOK een informatiedief. De malware was aanvankelijk gericht op het extraheren van browsergegevens, maar is ontworpen om cookies, browsegeschiedenis en authenticatiegegevens te verzamelen van belangrijke browsers zoals Google Chrome, Microsoft Edge en Mozilla Firefox.
In de loop der tijd zijn de mogelijkheden van GIFTEDCROOK echter aanzienlijk uitgebreid. De demoversie, die in februari 2025 begon, introduceerde krachtige functies voor data-exfiltratie, met name de mogelijkheid om bestanden kleiner dan 7 MB en gewijzigd in de afgelopen 45 dagen te targeten.
Nieuwe doelen: gevoelige bestanden en interne documenten
De verbeterde malware zoekt specifiek naar bestanden met de volgende extensies:
Documenten en presentaties: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Spreadsheets en gegevensbestanden: .csv, .xls, .xlsx, .ods
Archieven en teksten: .rar, .zip, .eml, .txt
Afbeeldingen en configuraties: .jpeg, .jpg, .png, .sqlite, .ovpn
Deze verschuiving van de focus, van browserreferenties naar recente en relevante documenten, onderstreept de rol van GIFTEDCROOK bij gerichte inlichtingenvergaring.
Exfiltratiemethoden: onder de radar blijven
Zodra de malware de gewenste bestanden heeft verzameld, comprimeert hij de gestolen gegevens tot een ZIP-archief. Als het archief groter is dan 20 MB, wordt het in kleinere delen gesplitst. Deze fragmenten worden geëxfiltreerd via een Telegram-kanaal dat door de aanvallers wordt beheerd. Deze methode helpt detectie te omzeilen en om traditionele netwerkbeveiligingstools te omzeilen.
Om de sporen te wissen, wordt in de laatste fase een batch-script uitgevoerd, waarmee sporen van de malware van de geïnfecteerde host worden verwijderd.
Strategische spionage, niet zomaar diefstal
GIFTEDCROOK is niet zomaar een inloggegevensdief, het is een cyberspionagetool. De mogelijkheid om recente en gevoelige documenten zoals spreadsheets, pdf's en VPN-configuraties te verzamelen, wijst op een opzettelijke intentie om informatie te verkrijgen van overheidsmedewerkers en interne systemen. De risico's zijn aanzienlijk: elke individuele inbreuk kan hele institutionele netwerken in gevaar brengen.
Geopolitieke timing en gecoördineerde ontwikkeling
De inzet van de malware sluit aan bij geopolitieke brandpunten, met name de onderhandelingen in Istanbul tussen Oekraïne en Rusland. Deze correlatie suggereert dat de verbeteringen van GIFTEDCROOK niet toevallig waren, maar onderdeel van een gecoördineerde ontwikkelingsstrategie gericht op het uitbreiden van de surveillancemogelijkheden in lijn met politieke gebeurtenissen.
Conclusie: een groeiende dreiging die de mondiale spanningen weerspiegelt
De evolutie van GIFTEDCROOK, van een bescheiden browserdatadief tot een allesomvattend spionageplatform, weerspiegelt de toenemende complexiteit van cyberdreigingen waarmee nationale instellingen worden geconfronteerd. De versieontwikkeling van de malware, gecombineerd met goed doordachte phishingtactieken en intelligente dataverzameling, weerspiegelt de duidelijke intentie van de tegenstander om digitale inbraken te gebruiken voor strategische winst. Iedereen die gevoelige informatie beheert, moet waakzaam blijven; het gaat hier niet langer alleen om gestolen wachtwoorden, maar om informatieoorlogvoering in digitale vorm.
