Злонамерни софтвер GIFTEDCROOK
Злонамерни софтвер познат као GIFTEDCROOK је претрпео значајну трансформацију. Првобитно дизајниран као основни крађа података из прегледача, сада је сазрео у софистицирани алат за шпијунажу са стратешким фокусом. Недавне кампање примећене у јуну 2025. године откривају алармантно побољшање: злонамерни софтвер сада циља осетљиве документе и власничке датотеке са компромитованих уређаја, посебно оних који припадају украјинској влади и војном особљу.
Преглед садржаја
Циљани напад на украјинске институције
GIFTEDCROOK је први пут откривен у априлу 2025. године, када су га истраживачи повезали са фишинг кампањама усмереним на војне ентитете, агенције за спровођење закона и локалне органе власти у Украјини. Ове кампање се приписују групи претњи UAC-0226, која користи макро-повезане Microsoft Excel документе за испоруку злонамерног софтвера путем фишинг имејлова.
Фишинг поруке често имитирају званичну комуникацију, користећи PDF мамце са војном тематиком како би превариле примаоце да кликну на линк ка складишту у облаку Mega. Овај линк садржи Excel датотеку са омогућеним макроима под називом „Списак оповешених військововозобов'язаних организација 609528.xlsm“. Када се макрои омогуће, GIFTEDCROOK се тихо преузима на циљни систем.
Шта GIFTEDCROOK краде: Проширивање свог домета
У својој суштини, GIFTEDCROOK остаје крађа информација. Првобитно фокусиран на издвајање података из прегледача, злонамерни софтвер је дизајниран да прикупља колачиће, историју прегледања и акредитиве за аутентификацију из главних прегледача као што су Google Chrome, Microsoft Edge и Mozilla Firefox.
Међутим, временом су се могућности GIFTEDCROOK-а значајно прошириле. Почевши од демо варијанте у фебруару 2025. године, новије верзије 1.2 и 1.3 увеле су моћне функције за извлачење података, посебно могућност циљања датотека мањих од 7 MB и модификованих у последњих 45 дана.
Нови циљеви: Осетљиве датотеке и интерни документи
Побољшани злонамерни софтвер посебно тражи датотеке са следећим екстензијама:
Документи и презентације: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Табеле и датотеке са подацима: .csv, .xls, .xlsx, .ods
Архиве и текстови: .rar, .zip, .eml, .txt
Слике и конфигурације: .jpeg, .jpg, .png, .sqlite, .ovpn
Ова промена фокуса, са података прегледача на недавне и релевантне документе, наглашава улогу GIFTEDCROOK-а у циљаном прикупљању обавештајних података.
Методе ексфилтрације: Остајање испод радара
Када злонамерни софтвер прикупи жељене датотеке, компресује украдене податке у ZIP архиву. Ако архива прелази 20 MB, дели се на мање делове. Ови фрагменти се екстрахују путем Телеграм канала који контролишу нападачи, метода која помаже у избегавању откривања и заобилажењу традиционалних алата за мрежну безбедност.
Да би се прикрили трагови, у завршној фази се извршава пакетни скрипт, уклањајући доказе о злонамерном софтверу са зараженог хоста.
Стратешка шпијунажа, не само крађа
GIFTEDCROOK није само крађа акредитива, већ је алат за сајбер шпијунажу. Његова способност да прикупља недавне и осетљиве документе као што су табеле, PDF-ови и VPN конфигурације указује на намерну намеру да се извуче обавештајни подаци од радника јавног сектора и интерних система. Ризици су значајни: свако појединачно угрожавање може угрозити читаве институционалне мреже.
Геополитички тајминг и координисани развој
Распоређивање злонамерног софтвера поклапа се са геополитичким жариштима, посебно са истанбулским преговорима између Украјине и Русије. Ова корелација сугерише да побољшања GIFTEDCROOK-а нису била случајна, већ део координисане стратегије развоја усмерене на проширење могућности надзора у складу са политичким догађајима.
Закључак: Растућа претња која одражава глобалне тензије
Еволуција GIFTEDCROOK-а, од скромног крадљивца података из прегледача до платформе за шпијунажу пуног спектра, одражава све већу сложеност сајбер претњи са којима се суочавају националне институције. Развој верзија злонамерног софтвера, упарен са добро осмишљеним тактикама фишинга и интелигентним прикупљањем података, одражава јасну намеру противника да дигиталне упаде искористи као оружје за стратешке добитке. Свако ко је у позицији да рукује осетљивим информацијама мора остати опрезан, ово више није само о украденим лозинкама, већ о информационом рату у дигиталном облику.
