GIFTEDCROOK-skadlig programvara
Den skadliga programvaran som kallas GIFTEDCROOK har genomgått en betydande omvandling. Ursprungligen utformad som en grundläggande datastöld för webbläsare har den nu mognat till ett sofistikerat spionageverktyg med strategiskt fokus. Nyligen observerade kampanjer i juni 2025 avslöjar en alarmerande förbättring: skadliga programvaran riktar sig nu mot känsliga dokument och proprietära filer från komprometterade enheter, särskilt de som tillhör den ukrainska regeringen och militär personal.
Innehållsförteckning
Ett riktat angrepp på ukrainska institutioner
GIFTEDCROOK upptäcktes först i april 2025, när forskare kopplade det till nätfiskekampanjer riktade mot militära enheter, brottsbekämpande myndigheter och lokala myndigheter i Ukraina. Dessa kampanjer tillskrivs hotbildsgruppen UAC-0226, som använder makrokopplade Microsoft Excel-dokument för att leverera skadlig programvara via nätfiskemejl.
Nätfiskemeddelandena härmar ofta officiell kommunikation och använder militärinspirerade PDF-lockbete för att lura mottagarna att klicka på en Mega-molnlagringslänk. Denna länk innehåller en makroaktiverad Excel-fil med titeln "Список оповіщених військовозобов'язаних організації 609528.xlsm". När makron är aktiverade laddas GIFTEDCROOK ner i tysthet till målsystemet.
Vad GIFTEDCROOK stjäl: Utökar sin räckvidd
I grund och botten är GIFTEDCROOK fortfarande en informationsstöld. Skadlig programvara, som ursprungligen fokuserade på att extrahera webbläsardata, är utformad för att samla in cookies, webbhistorik och autentiseringsuppgifter från stora webbläsare som Google Chrome, Microsoft Edge och Mozilla Firefox.
Med tiden har dock GIFTEDCROOKs möjligheter utökats avsevärt. Med början som en demovariant i februari 2025 introducerade nyare versioner 1.2 och 1.3 kraftfulla funktioner för dataexfiltrering, särskilt möjligheten att rikta in sig på filer under 7 MB och som modifierats inom de senaste 45 dagarna.
Nya mål: Känsliga filer och interna dokument
Den förbättrade skadliga programvaran söker specifikt efter filer med följande filändelser:
Dokument och presentationer: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Kalkylblad och datafiler: .csv, .xls, .xlsx, .ods
Arkiv och texter: .rar, .zip, .eml, .txt
Bilder och konfigurationer: .jpeg, .jpg, .png, .sqlite, .ovpn
Denna fokusförskjutning, från webbläsaruppgifter till aktuella och relevanta dokument, understryker GIFTEDCROOKs roll i riktad underrättelseinsamling.
Exfiltreringsmetoder: Håll dig under radarn
När skadlig programvara samlar in de önskade filerna komprimerar den den stulna informationen till ett ZIP-arkiv. Om arkivet överstiger 20 MB delas det upp i mindre delar. Dessa fragment exfiltreras via en Telegram-kanal som kontrolleras av angriparna, en metod som hjälper till att undvika upptäckt och kringgå traditionella nätverkssäkerhetsverktyg.
För att täcka dess spår körs ett batchskript i det sista steget, vilket tar bort bevis på skadlig kod från den infekterade värden.
Strategisk spionage, inte bara stöld
GIFTEDCROOK är inte bara en autentiseringsstöld, det är ett cyberspionageverktyg. Dess förmåga att samla in nya och känsliga dokument som kalkylblad, PDF-filer och VPN-konfigurationer indikerar en avsiktlig avsikt att utvinna information från offentliganställda och interna system. Riskerna är betydande: varje enskild intrång kan äventyra hela institutionella nätverk.
Geopolitisk timing och samordnad utveckling
Implementeringen av skadlig programvara ligger i linje med geopolitiska spänningar, särskilt Istanbulförhandlingarna mellan Ukraina och Ryssland. Denna korrelation tyder på att förbättringarna av GIFTEDCROOK inte var en slump utan en del av en samordnad utvecklingsstrategi som syftade till att utöka övervakningskapaciteten i linje med politiska händelser.
Slutsats: Ett växande hot som speglar globala spänningar
Utvecklingen av GIFTEDCROOK, från en blygsam webbläsardatatjuv till en fullspektrums spionplattform, speglar den ökande komplexiteten hos cyberhot som nationella institutioner står inför. Skadlig programvaras versionsutveckling, i kombination med välutvecklade nätfisketaktik och intelligent datainsamling, återspeglar motståndarens tydliga avsikt att beväpna digitala intrång för strategiska vinster. Alla som hanterar känslig information måste förbli vaksamma, det handlar inte längre bara om stulna lösenord, utan informationskrigföring i digital form.
