Programe malware GIFTEDCROOK
Malware-ul cunoscut sub numele de GIFTEDCROOK a suferit o transformare semnificativă. Conceput inițial ca un simplu instrument de furt de date de browser, acesta a devenit acum un instrument sofisticat de spionaj, cu un scop strategic. Campaniile recente observate în iunie 2025 dezvăluie o îmbunătățire alarmantă: malware-ul vizează acum documente sensibile și fișiere proprietare de pe dispozitivele compromise, în special cele aparținând guvernului și personalului militar ucrainean.
Cuprins
Un atac țintit asupra instituțiilor ucrainene
GIFTEDCROOK a fost descoperit pentru prima dată în aprilie 2025, când cercetătorii l-au asociat cu campanii de phishing care vizau entități militare, agenții de aplicare a legii și organisme guvernamentale locale din Ucraina. Aceste campanii sunt atribuite grupului de actori amenințători UAC-0226, care utilizează documente Microsoft Excel cu macrocomenzi pentru a livra conținut malware prin e-mailuri de phishing.
Mesajele de phishing imită adesea comunicările oficiale, folosind fișiere PDF cu tematică militară pentru a păcăli destinatarii să dea clic pe un link de stocare în cloud Mega. Acest link găzduiește un fișier Excel cu macrocomenzi, intitulat „Список оповіщених військовозобов'язаних організації 609528.xlsm”. Odată ce macrocomenzile sunt activate, GIFTEDCROOK este descărcat silențios pe sistemul țintă.
Ce fură GIFTEDCROOK: Extinderea acoperirii sale
În esență, GIFTEDCROOK rămâne un furt de informații. Inițial concentrat pe extragerea datelor din browser, malware-ul este conceput pentru a colecta cookie-uri, istoricul de navigare și credențiale de autentificare din browserele importante, cum ar fi Google Chrome, Microsoft Edge și Mozilla Firefox.
În timp, însă, capacitățile GIFTEDCROOK s-au extins semnificativ. Începând ca o variantă demo în februarie 2025, versiunile mai noi 1.2 și 1.3 au introdus funcții puternice de exfiltrare a datelor, în special capacitatea de a viza fișiere cu dimensiunea sub 7 MB și modificate în ultimele 45 de zile.
Noi ținte: fișiere sensibile și documente interne
Malware-ul îmbunătățit caută în mod specific fișiere cu următoarele extensii:
Documente și prezentări: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Foi de calcul și fișiere de date: .csv, .xls, .xlsx, .ods
Arhive și texte: .rar, .zip, .eml, .txt
Imagini și configurații: .jpeg, .jpg, .png, .sqlite, .ovpn
Această schimbare de focus, de la acreditările de browser la documente recente și relevante, subliniază rolul GIFTEDCROOK în colectarea de informații specifice.
Metode de exfiltrare: Să rămânem sub radar
Odată ce malware-ul colectează fișierele dorite, acesta comprimă datele furate într-o arhivă ZIP. Dacă arhiva depășește 20 MB, aceasta este împărțită în părți mai mici. Aceste fragmente sunt exfiltrate printr-un canal Telegram controlat de atacatori, o metodă care ajută la evitarea detectării și la ocolirea instrumentelor tradiționale de securitate a rețelei.
Pentru a-și acoperi urmele, în etapa finală se execută un script batch, eliminând dovezile malware-ului de pe gazda infectată.
Spionaj strategic, nu doar furt
GIFTEDCROOK nu este doar un instrument de furt de credențiale, ci un instrument de spionaj cibernetic. Capacitatea sa de a colecta documente recente și sensibile, cum ar fi foi de calcul, PDF-uri și configurații VPN, indică o intenție deliberată de a extrage informații de la angajații din sectorul public și de la sistemele interne. Riscurile sunt substanțiale: orice compromitere individuală poate pune în pericol rețele instituționale întregi.
Momentul geopolitic și dezvoltarea coordonată
Implementarea malware-ului se aliniază cu momente geopolitice tensionate, în special negocierile de la Istanbul dintre Ucraina și Rusia. Această corelație sugerează că îmbunătățirile aduse de GIFTEDCROOK nu au fost întâmplătoare, ci au făcut parte dintr-o strategie de dezvoltare coordonată care vizează extinderea capacităților de supraveghere în funcție de evenimentele politice.
Concluzie: O amenințare tot mai mare care reflectă tensiunile globale
Evoluția GIFTEDCROOK, de la un modest hoț de date de browser la o platformă de spionaj cu spectru complet, reflectă complexitatea crescândă a amenințărilor cibernetice cu care se confruntă instituțiile naționale. Progresia versiunilor malware-ului, coroborată cu tactici de phishing bine elaborate și colectarea inteligentă a datelor, reflectă intenția clară a adversarului de a transforma intruziunile digitale în arme pentru câștiguri strategice. Oricine se află într-o poziție de gestionare a informațiilor sensibile trebuie să rămână vigilent, nu mai este vorba doar despre parole furate, ci despre un război informațional în formă digitală.
