GIFTEDCROOK Вредоносное ПО
Вредоносная программа, известная как GIFTEDCROOK, претерпела существенные изменения. Первоначально разработанная как базовый похититель данных браузера, она теперь превратилась в сложный инструмент шпионажа со стратегическим фокусом. Недавние кампании, наблюдавшиеся в июне 2025 года, выявили тревожное улучшение: вредоносная программа теперь нацелена на конфиденциальные документы и файлы с скомпрометированных устройств, особенно тех, которые принадлежат украинскому правительству и военнослужащим.
Оглавление
Целенаправленная атака на украинские институты
GIFTEDCROOK был впервые обнаружен в апреле 2025 года, когда исследователи связали его с фишинговыми кампаниями, нацеленными на военные организации, правоохранительные органы и органы местного самоуправления в Украине. Эти кампании приписываются группе злоумышленников UAC-0226, которая использует документы Microsoft Excel с макросами для доставки вредоносной нагрузки через фишинговые письма.
Фишинговые сообщения часто имитируют официальные сообщения, используя PDF-приманки на военную тематику, чтобы заставить получателей нажать на ссылку облачного хранилища Mega. Эта ссылка размещает файл Excel с поддержкой макросов под названием «Список оповіщених військовозобов'язаних організації 609528.xlsm». После включения макросов GIFTEDCROOK молча загружается в целевую систему.
Что крадет GIFTEDCROOK: расширение своего влияния
По своей сути GIFTEDCROOK остается похитителем информации. Изначально нацеленный на извлечение данных браузера, вредоносная программа предназначена для сбора файлов cookie, истории просмотров и учетных данных аутентификации из основных браузеров, таких как Google Chrome, Microsoft Edge и Mozilla Firefox.
Однако со временем возможности GIFTEDCROOK значительно расширились. Начиная с демо-версии в феврале 2025 года, новые версии 1.2 и 1.3 представили мощные функции эксфильтрации данных, в частности возможность нацеливаться на файлы размером менее 7 МБ, измененные в течение последних 45 дней.
Новые цели: конфиденциальные файлы и внутренние документы
Усовершенствованная вредоносная программа специально ищет файлы со следующими расширениями:
Документы и презентации: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Электронные таблицы и файлы данных: .csv, .xls, .xlsx, .ods
Архивы и тексты: .rar, .zip, .eml, .txt
Изображения и конфигурации: .jpeg, .jpg, .png, .sqlite, .ovpn
Такое смещение акцента с учетных данных браузера на последние и релевантные документы подчеркивает роль GIFTEDCROOK в целенаправленном сборе разведывательной информации.
Методы эксфильтрации: оставаться вне поля зрения
После того, как вредоносная программа собирает нужные файлы, она сжимает украденные данные в ZIP-архив. Если архив превышает 20 МБ, он разбивается на более мелкие части. Эти фрагменты высылаются через канал Telegram, контролируемый злоумышленниками, метод, который помогает избежать обнаружения и обойти традиционные средства сетевой безопасности.
Чтобы замести следы, на последнем этапе выполняется пакетный скрипт, удаляющий доказательства присутствия вредоносного ПО с зараженного хоста.
Стратегический шпионаж, а не просто кража
GIFTEDCROOK — это не просто похититель учетных данных, это инструмент кибершпионажа. Его способность собирать недавние и конфиденциальные документы, такие как электронные таблицы, PDF-файлы и конфигурации VPN, указывает на преднамеренное намерение извлечь разведданные из работников государственного сектора и внутренних систем. Риски существенны: любая индивидуальная компрометация может поставить под угрозу целые институциональные сети.
Геополитическое время и скоординированное развитие
Развертывание вредоносного ПО совпадает с геополитическими напряженными моментами, в частности, со стамбульскими переговорами между Украиной и Россией. Эта корреляция предполагает, что улучшения GIFTEDCROOK были не случайностью, а частью скоординированной стратегии развития, направленной на расширение возможностей наблюдения в соответствии с политическими событиями.
Заключение: растущая угроза, отражающая глобальную напряженность
Эволюция GIFTEDCROOK, от скромного вора данных браузера до полномасштабной платформы шпионажа, отражает растущую сложность киберугроз, с которыми сталкиваются национальные учреждения. Прогресс версии вредоносного ПО в сочетании с продуманной тактикой фишинга и интеллектуальным сбором данных отражает явное намерение противника превратить цифровые вторжения в оружие для стратегических выгод. Любой, кто находится в положении, связанном с обработкой конфиденциальной информации, должен сохранять бдительность, это уже не просто украденные пароли, а информационная война в цифровой форме.
