Škodlivý softvér GIFTEDCROOK
Malvér známy ako GIFTEDCROOK prešiel významnou transformáciou. Pôvodne bol navrhnutý ako základný nástroj na krádež údajov z prehliadača, no teraz sa vyvinul na sofistikovaný špionážny nástroj so strategickým zameraním. Nedávne kampane pozorované v júni 2025 odhaľujú alarmujúce zlepšenie: malvér sa teraz zameriava na citlivé dokumenty a proprietárne súbory z napadnutých zariadení, najmä tých, ktoré patria ukrajinskej vláde a vojenskému personálu.
Obsah
Cielený útok na ukrajinské inštitúcie
Nákaza GIFTEDCROOK bola prvýkrát objavená v apríli 2025, keď ju výskumníci spojili s phishingovými kampaňami zameranými na vojenské subjekty, orgány činné v trestnom konaní a miestne samosprávy na Ukrajine. Tieto kampane sa pripisujú skupine útočníkov UAC-0226, ktorá využíva dokumenty programu Microsoft Excel s makro efektmi na doručovanie malvéru prostredníctvom phishingových e-mailov.
Phishingové správy často napodobňujú oficiálnu komunikáciu a používajú lákadlá vo formáte PDF s vojenskou tematikou, aby oklamali príjemcov a prinútili ich kliknúť na odkaz na cloudové úložisko Mega. Tento odkaz obsahuje súbor programu Excel s povolenými makrami s názvom „Zoznam ozbrojených síl Spojených štátov amerických 609528.xlsm“. Po povolení makier sa GIFTEDCROOK potichu stiahne do cieľového systému.
Čo kradne GIFTEDCROOK: Rozširovanie jeho dosahu
V jadre zostáva GIFTEDCROOK kradnutím informácií. Malvér, ktorý sa pôvodne zameriaval na extrakciu údajov z prehliadača, je navrhnutý tak, aby zhromažďoval súbory cookie, históriu prehliadania a overovacie údaje z hlavných prehliadačov, ako sú Google Chrome, Microsoft Edge a Mozilla Firefox.
Postupom času sa však možnosti GIFTEDCROOK výrazne rozšírili. Novšie verzie 1.2 a 1.3, ktoré začali ako demo verzia vo februári 2025, priniesli výkonné funkcie exfiltrácie dát, najmä schopnosť zacieliť na súbory s veľkosťou menšou ako 7 MB a upravené za posledných 45 dní.
Nové ciele: Citlivé súbory a interné dokumenty
Vylepšený malvér konkrétne vyhľadáva súbory s nasledujúcimi príponami:
Dokumenty a prezentácie: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Tabuľky a dátové súbory: .csv, .xls, .xlsx, .ods
Archívy a texty: .rar, .zip, .eml, .txt
Obrázky a konfigurácie: .jpeg, .jpg, .png, .sqlite, .ovpn
Tento posun v zameraní z prihlasovacích údajov prehliadača na nedávne a relevantné dokumenty podčiarkuje úlohu GIFTEDCROOK v cielenom zhromažďovaní spravodajských informácií.
Metódy exfiltrácie: Zostaňte pod radarom
Keď malvér zhromaždí požadované súbory, skomprimuje ukradnuté dáta do ZIP archívu. Ak archív presiahne 20 MB, rozdelí sa na menšie časti. Tieto fragmenty sú exfiltrované cez telegramový kanál kontrolovaný útočníkmi, čo je metóda, ktorá pomáha vyhnúť sa detekcii a obísť tradičné nástroje sieťovej bezpečnosti.
Aby sa zakryli stopy, v záverečnej fáze sa spustí dávkový skript, ktorý odstráni dôkazy o škodlivom softvéri z infikovaného hostiteľa.
Strategická špionáž, nielen krádež
GIFTEDCROOK nie je len nástroj na krádež poverení, ale aj nástroj kybernetickej špionáže. Jeho schopnosť zhromažďovať nedávne a citlivé dokumenty, ako sú tabuľky, PDF súbory a konfigurácie VPN, naznačuje úmyselný zámer získať spravodajské informácie od pracovníkov verejného sektora a interných systémov. Riziká sú značné: akékoľvek individuálne narušenie môže ohroziť celé inštitucionálne siete.
Geopolitické načasovanie a koordinovaný rozvoj
Nasadenie malvéru sa zhoduje s geopolitickými bodmi ohniska, najmä s istanbulskými rokovaniami medzi Ukrajinou a Ruskom. Táto korelácia naznačuje, že vylepšenia GIFTEDCROOK neboli náhodné, ale boli súčasťou koordinovanej vývojovej stratégie zameranej na rozšírenie sledovacích schopností v súlade s politickými udalosťami.
Záver: Rastúca hrozba, ktorá odráža globálne napätie
Vývoj škodlivého softvéru GIFTEDCROOK, od skromného zlodeja údajov z prehliadačov až po plnospektrálnu špionážnu platformu, odráža rastúcu komplexnosť kybernetických hrozieb, ktorým čelia národné inštitúcie. Postupný vývoj verzií malvéru v spojení s premyslenými phishingovými taktikami a inteligentným zberom údajov odráža jasný zámer protivníka využiť digitálne prieniky ako zbraň na strategické zisky. Každý, kto je v pozícii, keď manipuluje s citlivými informáciami, musí zostať ostražitý, pretože už nejde len o ukradnuté heslá, ale o informačnú vojnu v digitálnej forme.
