Malware GIFTEDCROOK
O malware conhecido como GIFTEDCROOK passou por uma transformação significativa. Originalmente projetado como um simples ladrão de dados de navegador, ele agora se tornou uma sofisticada ferramenta de espionagem com foco estratégico. Campanhas recentes observadas em junho de 2025 revelam uma melhora alarmante: o malware agora tem como alvo documentos confidenciais e arquivos proprietários de dispositivos comprometidos, especialmente aqueles pertencentes ao governo e militares ucranianos.
Índice
Um ataque direcionado às instituições ucranianas
O GIFTEDCROOK foi descoberto pela primeira vez em abril de 2025, quando pesquisadores o associaram a campanhas de phishing direcionadas a entidades militares, agências de segurança pública e órgãos governamentais locais na Ucrânia. Essas campanhas são atribuídas ao grupo de agentes de ameaças UAC-0226, que utiliza documentos do Microsoft Excel com macros para enviar o malware por meio de e-mails de phishing.
As mensagens de phishing frequentemente imitam comunicações oficiais, usando PDFs com temas militares para induzir os destinatários a clicar em um link de armazenamento em nuvem do Mega. Este link hospeda um arquivo Excel com macros, intitulado "Список оповіщених військовозобов'язаних організації 609528.xlsm". Assim que as macros são ativadas, o GIFTEDCROOK é baixado silenciosamente para o sistema de destino.
O que GIFTEDCROOK rouba: expandindo seu alcance
Em sua essência, o GIFTEDCROOK continua sendo um ladrão de informações. Inicialmente focado em extrair dados do navegador, o malware foi projetado para coletar cookies, histórico de navegação e credenciais de autenticação dos principais navegadores, como Google Chrome, Microsoft Edge e Mozilla Firefox.
Com o tempo, no entanto, os recursos do GIFTEDCROOK se expandiram significativamente. Começando como uma versão de demonstração em fevereiro de 2025, as versões mais recentes 1.2 e 1.3 introduziram recursos poderosos de exfiltração de dados, especialmente a capacidade de direcionar arquivos com menos de 7 MB e modificados nos últimos 45 dias.
Novos alvos: arquivos confidenciais e documentos internos
O malware aprimorado procura especificamente por arquivos com as seguintes extensões:
Documentos e apresentações: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Planilhas e arquivos de dados: .csv, .xls, .xlsx, .ods
Arquivos e Textos: .rar, .zip, .eml, .txt
Imagens e configurações: .jpeg, .jpg, .png, .sqlite, .ovpn
Essa mudança de foco, das credenciais do navegador para documentos recentes e relevantes, ressalta o papel do GIFTEDCROOK na coleta de inteligência direcionada.
Métodos de exfiltração: mantendo-se discreto
Assim que o malware coleta os arquivos desejados, ele compacta os dados roubados em um arquivo ZIP. Se o arquivo exceder 20 MB, ele é dividido em partes menores. Esses fragmentos são exfiltrados por meio de um canal do Telegram controlado pelos invasores, um método que ajuda a evitar a detecção e a burlar as ferramentas tradicionais de segurança de rede.
Para cobrir seus rastros, um script em lote é executado no estágio final, removendo evidências do malware do host infectado.
Espionagem estratégica, não apenas roubo
O GIFTEDCROOK não é apenas um ladrão de credenciais, é uma ferramenta de espionagem cibernética. Sua capacidade de coletar documentos recentes e sensíveis, como planilhas, PDFs e configurações de VPN, indica a intenção deliberada de extrair inteligência de funcionários do setor público e de sistemas internos. Os riscos são substanciais: qualquer comprometimento individual pode colocar em risco redes institucionais inteiras.
Cronometragem geopolítica e desenvolvimento coordenado
A implantação do malware está alinhada a momentos críticos geopolíticos, notadamente as negociações de Istambul entre a Ucrânia e a Rússia. Essa correlação sugere que os aprimoramentos do GIFTEDCROOK não foram coincidência, mas parte de uma estratégia de desenvolvimento coordenada com o objetivo de expandir as capacidades de vigilância em consonância com os eventos políticos.
Conclusão: Uma ameaça crescente que reflete as tensões globais
A evolução do GIFTEDCROOK, de um modesto ladrão de dados de navegador para uma plataforma de espionagem de espectro completo, reflete a crescente complexidade das ameaças cibernéticas enfrentadas por instituições nacionais. A progressão das versões do malware, aliada a táticas de phishing bem elaboradas e coleta inteligente de dados, reflete a clara intenção do adversário de usar intrusões digitais como armas para ganhos estratégicos. Qualquer pessoa em posição de lidar com informações confidenciais deve permanecer vigilante; não se trata mais apenas de senhas roubadas, mas de guerra de informação em formato digital.
