GIFTEDCROOK มัลแวร์

มัลแวร์ที่รู้จักกันในชื่อ GIFTEDCROOK ได้ผ่านการเปลี่ยนแปลงครั้งสำคัญ โดยเดิมออกแบบมาเพื่อขโมยข้อมูลเบราว์เซอร์ขั้นพื้นฐาน แต่ปัจจุบันได้พัฒนาเป็นเครื่องมือจารกรรมที่ซับซ้อนโดยเน้นที่กลยุทธ์ แคมเปญล่าสุดที่สังเกตเห็นในเดือนมิถุนายน 2025 เผยให้เห็นถึงการปรับปรุงที่น่าตกใจ: มัลแวร์กำหนดเป้าหมายเอกสารสำคัญและไฟล์ที่เป็นกรรมสิทธิ์จากอุปกรณ์ที่ถูกบุกรุก โดยเฉพาะอุปกรณ์ที่เป็นของรัฐบาลยูเครนและบุคลากรทางทหาร

การโจมตีสถาบันยูเครนแบบมีเป้าหมาย

GIFTEDCROOK ถูกค้นพบครั้งแรกในเดือนเมษายน 2025 เมื่อนักวิจัยเชื่อมโยงเข้ากับแคมเปญฟิชชิ่งที่มุ่งเป้าไปที่หน่วยงานทหาร หน่วยงานบังคับใช้กฎหมาย และหน่วยงานรัฐบาลท้องถิ่นในยูเครน แคมเปญเหล่านี้มาจากกลุ่มผู้ก่อภัยคุกคาม UAC-0226 ซึ่งใช้เอกสาร Microsoft Excel ที่มีแมโครเพื่อส่งมัลแวร์ผ่านอีเมลฟิชชิ่ง

ข้อความฟิชชิ่งมักจะเลียนแบบการสื่อสารอย่างเป็นทางการ โดยใช้ไฟล์ PDF ที่มีธีมเกี่ยวกับทหารเพื่อหลอกล่อให้ผู้รับคลิกลิงก์ที่เก็บข้อมูลบนคลาวด์ของ Mega ลิงก์นี้โฮสต์ไฟล์ Excel ที่เปิดใช้งานแมโครชื่อว่า 'Список оповіщених військовозов'язаних організації 609528.xlsm' เมื่อเปิดใช้งานแมโครแล้ว GIFTEDCROOK จะถูกดาวน์โหลดไปยังระบบเป้าหมายโดยไม่แจ้งให้ทราบ

สิ่งที่ GIFTEDCROOK ขโมย: การขยายขอบเขต

โดยพื้นฐานแล้ว GIFTEDCROOK ยังคงเป็นตัวขโมยข้อมูล โดยในช่วงแรกนั้น มัลแวร์นี้มุ่งเน้นไปที่การดึงข้อมูลเบราว์เซอร์ โดยได้รับการออกแบบมาเพื่อรวบรวมคุกกี้ ประวัติการเรียกดู และข้อมูลรับรองการตรวจสอบสิทธิ์จากเบราว์เซอร์หลักๆ เช่น Google Chrome, Microsoft Edge และ Mozilla Firefox

อย่างไรก็ตาม เมื่อเวลาผ่านไป ความสามารถของ GIFTEDCROOK ได้ขยายตัวเพิ่มขึ้นอย่างมาก โดยเริ่มต้นเป็นเวอร์ชันสาธิตในเดือนกุมภาพันธ์ 2025 เวอร์ชันใหม่ 1.2 และ 1.3 ได้แนะนำคุณสมบัติการดึงข้อมูลที่มีประสิทธิภาพ โดยเฉพาะความสามารถในการกำหนดเป้าหมายไฟล์ที่มีขนาดต่ำกว่า 7 MB และแก้ไขภายใน 45 วันที่ผ่านมา

เป้าหมายใหม่: ไฟล์ที่ละเอียดอ่อนและเอกสารภายใน

มัลแวร์ที่ได้รับการปรับปรุงนี้จะค้นหาไฟล์ที่มีนามสกุลไฟล์ดังต่อไปนี้โดยเฉพาะ:

เอกสารและงานนำเสนอ: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt

สเปรดชีตและไฟล์ข้อมูล: .csv, .xls, .xlsx, .ods

ไฟล์และข้อความ: .rar, .zip, .eml, .txt

รูปภาพและการกำหนดค่า: .jpeg, .jpg, .png, .sqlite, .ovpn

การเปลี่ยนแปลงจุดโฟกัสนี้จากข้อมูลประจำตัวของเบราว์เซอร์ไปจนถึงเอกสารที่เกี่ยวข้องล่าสุด เน้นย้ำถึงบทบาทของ GIFTEDCROOK ในการรวบรวมข่าวกรองแบบกำหนดเป้าหมาย

วิธีการกรองข้อมูล: การอยู่ให้พ้นจากเรดาร์

เมื่อมัลแวร์รวบรวมไฟล์ที่ต้องการแล้ว มันจะบีบอัดข้อมูลที่ขโมยมาลงในไฟล์ ZIP หากไฟล์มีขนาดใหญ่เกิน 20 MB ไฟล์จะถูกแบ่งออกเป็นส่วนย่อยๆ ส่วนเหล่านี้จะถูกแยกออกผ่านช่องทาง Telegram ที่ควบคุมโดยผู้โจมตี ซึ่งเป็นวิธีการที่ช่วยหลีกเลี่ยงการตรวจจับและหลีกเลี่ยงเครื่องมือรักษาความปลอดภัยเครือข่ายแบบเดิม

เพื่อปกปิดร่องรอย สคริปต์ชุดจะถูกดำเนินการในขั้นตอนสุดท้าย โดยลบหลักฐานของมัลแวร์ออกจากโฮสต์ที่ติดไวรัส

การจารกรรมเชิงกลยุทธ์ ไม่ใช่แค่การขโมย

GIFTEDCROOK ไม่ใช่แค่เครื่องมือขโมยข้อมูลประจำตัวเท่านั้น แต่ยังเป็นเครื่องมือจารกรรมทางไซเบอร์อีกด้วย ความสามารถในการรวบรวมเอกสารล่าสุดและละเอียดอ่อน เช่น สเปรดชีต PDF และการกำหนดค่า VPN แสดงให้เห็นถึงเจตนาโดยเจตนาที่จะดึงข้อมูลจากพนักงานภาครัฐและระบบภายใน ความเสี่ยงนั้นมีมาก: การประนีประนอมระหว่างบุคคลใดๆ อาจเป็นอันตรายต่อเครือข่ายสถาบันทั้งหมด

การกำหนดจังหวะทางภูมิรัฐศาสตร์และการพัฒนาที่ประสานงานกัน

การใช้งานมัลแวร์สอดคล้องกับประเด็นร้อนทางภูมิรัฐศาสตร์ โดยเฉพาะการเจรจาระหว่างยูเครนและรัสเซียที่อิสตันบูล ความสัมพันธ์นี้บ่งชี้ว่าการปรับปรุงของ GIFTEDCROOK ไม่ใช่เรื่องบังเอิญ แต่เป็นส่วนหนึ่งของกลยุทธ์การพัฒนาร่วมกันที่มุ่งขยายขีดความสามารถในการเฝ้าระวังตามเหตุการณ์ทางการเมือง

บทสรุป: ภัยคุกคามที่เพิ่มขึ้นซึ่งสะท้อนถึงความตึงเครียดทั่วโลก

วิวัฒนาการของ GIFTEDCROOK จากโปรแกรมขโมยข้อมูลเบราว์เซอร์ธรรมดาๆ ไปสู่แพลตฟอร์มจารกรรมเต็มรูปแบบ สะท้อนให้เห็นถึงความซับซ้อนที่เพิ่มมากขึ้นของภัยคุกคามทางไซเบอร์ที่สถาบันระดับชาติต้องเผชิญ ความก้าวหน้าของเวอร์ชันของมัลแวร์ ควบคู่ไปกับกลวิธีฟิชชิ่งที่ออกแบบมาอย่างดีและการรวบรวมข้อมูลอัจฉริยะ สะท้อนให้เห็นถึงเจตนาที่ชัดเจนของฝ่ายตรงข้ามในการใช้การบุกรุกทางดิจิทัลเป็นอาวุธเพื่อผลประโยชน์เชิงกลยุทธ์ ใครก็ตามที่อยู่ในตำแหน่งที่ต้องจัดการข้อมูลที่ละเอียดอ่อนจะต้องเฝ้าระวัง นี่ไม่ใช่แค่เรื่องของรหัสผ่านที่ถูกขโมยเท่านั้น แต่ยังรวมถึงสงครามข้อมูลในรูปแบบดิจิทัลด้วย