GIFTEDCROOK Kötü Amaçlı Yazılım
GIFTEDCROOK olarak bilinen kötü amaçlı yazılım önemli bir dönüşüm geçirdi. Başlangıçta temel bir tarayıcı veri hırsızı olarak tasarlanan yazılım, artık stratejik bir odak noktası olan sofistike bir casusluk aracına dönüştü. Haziran 2025'te gözlemlenen son kampanyalar endişe verici bir gelişmeyi ortaya koyuyor: kötü amaçlı yazılım artık hassas belgeleri ve özellikle Ukrayna hükümetine ve askeri personele ait olan tehlikeye atılmış cihazlardan gelen tescilli dosyaları hedef alıyor.
İçindekiler
Ukrayna Kurumlarına Yönelik Hedefli Saldırı
GIFTEDCROOK ilk olarak Nisan 2025'te araştırmacıların Ukrayna'daki askeri kuruluşlara, kolluk kuvvetlerine ve yerel hükümet organlarına yönelik kimlik avı kampanyalarıyla ilişkilendirmesiyle keşfedildi. Bu kampanyalar, kimlik avı e-postaları aracılığıyla kötü amaçlı yazılım yükünü iletmek için makro bağlantılı Microsoft Excel belgelerinden yararlanan tehdit aktörü grubu UAC-0226'ya atfediliyor.
Kimlik avı mesajları genellikle resmi iletişimleri taklit eder ve alıcıları bir Mega bulut depolama bağlantısına tıklamaya kandırmak için askeri temalı PDF yemleri kullanır. Bu bağlantı, 'Список оповіщених військовозобов'язаних організації 609528.xlsm' başlıklı makro etkinleştirilmiş bir Excel dosyası barındırır. Makrolar etkinleştirildikten sonra GIFTEDCROOK hedef sisteme sessizce indirilir.
GIFTEDCROOK’un Çaldığı Şeyler: Etki Alanını Genişletmek
GIFTEDCROOK özünde bir bilgi hırsızı olmaya devam ediyor. Başlangıçta tarayıcı verilerini çıkarmaya odaklanan kötü amaçlı yazılım, Google Chrome, Microsoft Edge ve Mozilla Firefox gibi büyük tarayıcılardan çerezleri, tarama geçmişini ve kimlik doğrulama bilgilerini toplamak üzere tasarlanmıştır.
Ancak zamanla GIFTEDCROOK'un yetenekleri önemli ölçüde genişledi. Şubat 2025'te bir demo varyantı olarak başlayan daha yeni sürümler 1.2 ve 1.3, özellikle 7 MB'ın altındaki ve son 45 gün içinde değiştirilmiş dosyaları hedefleme yeteneği gibi güçlü veri sızdırma özellikleri sundu.
Yeni Hedefler: Hassas Dosyalar ve Dahili Belgeler
Geliştirilmiş kötü amaçlı yazılım özellikle aşağıdaki uzantılara sahip dosyaları arar:
Belgeler ve Sunumlar: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
E-Tablolar ve Veri Dosyaları: .csv, .xls, .xlsx, .ods
Arşivler ve Metinler: .rar, .zip, .eml, .txt
Görüntüler ve Yapılandırmalar: .jpeg, .jpg, .png, .sqlite, .ovpn
Tarayıcı kimlik bilgilerinden güncel ve ilgili belgelere doğru olan bu odak değişimi, GIFTEDCROOK'un hedefli istihbarat toplamadaki rolünü vurguluyor.
Sızma Yöntemleri: Radar Altında Kalmak
Kötü amaçlı yazılım istenen dosyaları topladığında, çalınan verileri bir ZIP arşivine sıkıştırır. Arşiv 20 MB'ı aşarsa, daha küçük parçalara bölünür. Bu parçalar, saldırganlar tarafından kontrol edilen bir Telegram kanalı aracılığıyla dışarı sızdırılır; bu yöntem, tespitten kaçınmaya ve geleneksel ağ güvenlik araçlarını atlatmaya yardımcı olur.
İzlerini örtmek için son aşamada, kötü amaçlı yazılımın bulaşmış bilgisayardan kanıtlarını kaldıran bir toplu komut dosyası yürütülür.
Stratejik Casusluk, Sadece Hırsızlık Değil
GIFTEDCROOK yalnızca bir kimlik hırsızı değil, bir siber casusluk aracıdır. Elektronik tablolar, PDF'ler ve VPN yapılandırmaları gibi son ve hassas belgeleri toplama kapasitesi, kamu sektörü çalışanlarından ve dahili sistemlerden istihbarat elde etme konusunda kasıtlı bir niyeti olduğunu gösterir. Riskler önemlidir: herhangi bir bireysel uzlaşma tüm kurumsal ağları tehlikeye atabilir.
Jeopolitik Zamanlama ve Koordineli Kalkınma
Kötü amaçlı yazılımın dağıtımı, jeopolitik çatışma noktalarıyla, özellikle Ukrayna ve Rusya arasındaki İstanbul müzakereleriyle örtüşüyor. Bu ilişki, GIFTEDCROOK'un geliştirmelerinin tesadüf olmadığını, siyasi olaylara uygun olarak gözetleme yeteneklerini genişletmeyi amaçlayan koordineli bir geliştirme stratejisinin parçası olduğunu gösteriyor.
Sonuç: Küresel Gerilimleri Yansıtan Büyüyen Bir Tehdit
GIFTEDCROOK'un mütevazı bir tarayıcı veri hırsızından tam spektrumlu bir casusluk platformuna evrimi, ulusal kurumların karşı karşıya olduğu siber tehditlerin artan karmaşıklığını yansıtıyor. Kötü amaçlı yazılımın sürüm ilerlemesi, iyi hazırlanmış kimlik avı taktikleri ve akıllı veri toplama ile birleştiğinde, saldırganın dijital saldırıları stratejik kazanımlar için silahlandırma yönündeki açık niyetini yansıtıyor. Hassas bilgileri işleme pozisyonunda olan herkes dikkatli olmalı, bu artık sadece çalınan parolalarla ilgili değil, dijital biçimde bilgi savaşıyla ilgili.
