Oprogramowanie złośliwe GIFTEDCROOK
Malware znane jako GIFTEDCROOK przeszło znaczącą transformację. Początkowo zaprojektowane jako podstawowy złodziej danych przeglądarki, rozwinęło się w wyrafinowane narzędzie szpiegowskie ze strategicznym nastawieniem. Ostatnie kampanie zaobserwowane w czerwcu 2025 r. ujawniają alarmujące udoskonalenie: malware teraz atakuje poufne dokumenty i zastrzeżone pliki z zainfekowanych urządzeń, w szczególności tych należących do ukraińskiego rządu i personelu wojskowego.
Spis treści
Celowy atak na instytucje ukraińskie
GIFTEDCROOK został po raz pierwszy odkryty w kwietniu 2025 r., kiedy badacze powiązali go z kampaniami phishingowymi skierowanymi na jednostki wojskowe, organy ścigania i lokalne organy rządowe na Ukrainie. Kampanie te przypisuje się grupie aktorów zagrożeń UAC-0226, która wykorzystuje dokumenty Microsoft Excel z makroinstrukcjami do dostarczania ładunku złośliwego oprogramowania za pośrednictwem wiadomości e-mail phishingowych.
Wiadomości phishingowe często naśladują oficjalne komunikaty, wykorzystując wojskowe wabiki PDF, aby nakłonić odbiorców do kliknięcia łącza do przechowywania w chmurze Mega. To łącze hostuje plik Excel z włączonymi makrami zatytułowany „Список оповіщених військовозобов'язаних організації 609528.xlsm”. Po włączeniu makr GIFTEDCROOK jest po cichu pobierany do systemu docelowego.
Co kradnie GIFTEDCROOK: Rozszerzanie zasięgu
W swojej istocie GIFTEDCROOK pozostaje złodziejem informacji. Początkowo skupiony na wydobywaniu danych przeglądarki, malware jest zaprojektowany do zbierania plików cookie, historii przeglądania i danych uwierzytelniających z głównych przeglądarek, takich jak Google Chrome, Microsoft Edge i Mozilla Firefox.
Z czasem jednak możliwości GIFTEDCROOK znacznie się rozszerzyły. Począwszy od wersji demonstracyjnej w lutym 2025 r., nowsze wersje 1.2 i 1.3 wprowadziły potężne funkcje eksfiltracji danych, w szczególności możliwość kierowania plików o rozmiarze mniejszym niż 7 MB i zmodyfikowanych w ciągu ostatnich 45 dni.
Nowe cele: poufne pliki i wewnętrzne dokumenty
Udoskonalone złośliwe oprogramowanie wyszukuje konkretnie pliki z następującymi rozszerzeniami:
Dokumenty i prezentacje: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Arkusze kalkulacyjne i pliki danych: .csv, .xls, .xlsx, .ods
Archiwa i teksty: .rar, .zip, .eml, .txt
Obrazy i konfiguracje: .jpeg, .jpg, .png, .sqlite, .ovpn
Zmiana podejścia z danych uwierzytelniających przeglądarki na niedawne i istotne dokumenty podkreśla rolę GIFTEDCROOK w ukierunkowanym gromadzeniu informacji wywiadowczych.
Metody eksfiltracji: pozostawanie poza radarem
Gdy złośliwe oprogramowanie zbierze żądane pliki, kompresuje skradzione dane do archiwum ZIP. Jeśli archiwum przekracza 20 MB, jest dzielone na mniejsze części. Te fragmenty są eksfiltrowane za pośrednictwem kanału Telegram kontrolowanego przez atakujących, co pomaga uniknąć wykrycia i ominąć tradycyjne narzędzia bezpieczeństwa sieci.
Aby zatrzeć ślady, na ostatnim etapie wykonywany jest skrypt wsadowy, który usuwa ślady złośliwego oprogramowania z zainfekowanego hosta.
Strategiczne szpiegostwo, nie tylko kradzież
GIFTEDCROOK nie jest jedynie złodziejem danych uwierzytelniających, jest narzędziem cybernetycznego szpiegostwa. Jego zdolność do zbierania niedawnych i poufnych dokumentów, takich jak arkusze kalkulacyjne, pliki PDF i konfiguracje VPN, wskazuje na celowy zamiar wydobycia informacji od pracowników sektora publicznego i systemów wewnętrznych. Ryzyko jest znaczne: każde indywidualne naruszenie może zagrozić całym sieciom instytucjonalnym.
Geopolityczny czas i skoordynowany rozwój
Wdrożenie złośliwego oprogramowania jest zgodne z geopolitycznymi punktami zapalnymi, zwłaszcza negocjacjami w Stambule między Ukrainą a Rosją. Ta korelacja sugeruje, że ulepszenia GIFTEDCROOK nie były przypadkowe, ale częścią skoordynowanej strategii rozwoju mającej na celu rozszerzenie możliwości nadzoru zgodnie z wydarzeniami politycznymi.
Wnioski: Rosnące zagrożenie, które odzwierciedla globalne napięcia
Ewolucja GIFTEDCROOK, od skromnego złodzieja danych przeglądarki do pełnospektralnej platformy szpiegowskiej, odzwierciedla rosnącą złożoność cyberzagrożeń, z którymi mierzą się instytucje krajowe. Rozwój wersji złośliwego oprogramowania w połączeniu z dobrze opracowanymi taktykami phishingu i inteligentnym gromadzeniem danych odzwierciedlają wyraźny zamiar przeciwnika, aby uzbroić cyfrowe włamania w celu uzyskania strategicznych korzyści. Każdy, kto zajmuje się poufnymi informacjami, musi zachować czujność, nie chodzi już tylko o skradzione hasła, ale o wojnę informacyjną w formie cyfrowej.
