Шкідливе програмне забезпечення GIFTEDCROOK
Шкідливе програмне забезпечення, відоме як GIFTEDCROOK, зазнало значної трансформації. Спочатку воно було розроблене як простий викрадач даних браузера, але тепер перетворилося на складний шпигунський інструмент зі стратегічним фокусом. Нещодавні кампанії, що спостерігалися у червні 2025 року, свідчать про тривожне покращення: шкідливе програмне забезпечення тепер націлене на конфіденційні документи та власні файли зі скомпрометованих пристроїв, зокрема тих, що належать уряду України та військовослужбовцям.
Зміст
Цілеспрямований напад на українські інституції
GIFTEDCROOK вперше було виявлено у квітні 2025 року, коли дослідники пов’язали його з фішинговими кампаніями, спрямованими на військові формування, правоохоронні органи та органи місцевого самоврядування в Україні. Ці кампанії приписують групі зловмисників UAC-0226, яка використовує документи Microsoft Excel з макросами для доставки шкідливого програмного забезпечення через фішингові електронні листи.
Фішингові повідомлення часто імітують офіційне спілкування, використовуючи PDF-файли на військову тематику, щоб обманом змусити одержувачів натиснути посилання на хмарне сховище Mega. Це посилання містить файл Excel з підтримкою макросів під назвою «Список ополчених військовослужбовців, зареєстрованих організацій 609528.xlsm». Після ввімкнення макросів GIFTEDCROOK непомітно завантажується на цільову систему.
Що краде GIFTEDCROOK: розширення охоплення
По суті, GIFTEDCROOK залишається викрадачем інформації. Спочатку зосереджений на вилученні даних браузера, шкідливе програмне забезпечення призначене для збору файлів cookie, історії переглядів та облікових даних автентифікації з основних браузерів, таких як Google Chrome, Microsoft Edge та Mozilla Firefox.
Однак з часом можливості GIFTEDCROOK значно розширилися. Починаючи як демонстраційний варіант у лютому 2025 року, новіші версії 1.2 та 1.3 представили потужні функції вилучення даних, зокрема можливість вилучення файлів розміром менше 7 МБ та змінених протягом останніх 45 днів.
Нові цілі: конфіденційні файли та внутрішні документи
Покращене шкідливе програмне забезпечення спеціально шукає файли з такими розширеннями:
Документи та презентації: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Електронні таблиці та файли даних: .csv, .xls, .xlsx, .ods
Архівні файли та тексти: .rar, .zip, .eml, .txt
Зображення та конфігурації: .jpeg, .jpg, .png, .sqlite, .ovpn
Таке зміщення фокусу з облікових даних браузера на нещодавні та відповідні документи підкреслює роль GIFTEDCROOK у цілеспрямованому зборі розвідувальних даних.
Методи евакуації: залишатися непоміченим
Після того, як шкідливе програмне забезпечення збере потрібні файли, воно стискає викрадені дані в ZIP-архів. Якщо архів перевищує 20 МБ, він розбивається на менші частини. Ці фрагменти витягуються через канал Telegram, контрольований зловмисниками, що допомагає уникнути виявлення та обійти традиційні засоби мережевої безпеки.
Щоб замести сліди, на завершальному етапі виконується пакетний скрипт, який видаляє сліди шкідливого програмного забезпечення із зараженого хоста.
Стратегічне шпигунство, а не просто крадіжка
GIFTEDCROOK — це не просто викрадач облікових даних, це інструмент кібершпигунства. Його здатність збирати нещодавні та конфіденційні документи, такі як електронні таблиці, PDF-файли та конфігурації VPN, свідчить про навмисний намір отримати розвідувальну інформацію від працівників державного сектору та внутрішніх систем. Ризики є суттєвими: будь-яке окреме компрометування може поставити під загрозу цілі інституційні мережі.
Геополітичний час та скоординований розвиток
Розгортання шкідливого програмного забезпечення узгоджується з геополітичними гарячими точками, зокрема зі стамбульськими переговорами між Україною та Росією. Ця кореляція свідчить про те, що вдосконалення GIFTEDCROOK не були випадковими, а частиною скоординованої стратегії розвитку, спрямованої на розширення можливостей спостереження відповідно до політичних подій.
Висновок: Зростаюча загроза, яка відображає глобальну напруженість
Еволюція GIFTEDCROOK від скромного викрадача даних браузера до повноспектральної шпигунської платформи відображає зростаючу складність кіберзагроз, з якими стикаються національні інституції. Розвиток версій шкідливого програмного забезпечення в поєднанні з добре продуманою тактикою фішингу та інтелектуальним збором даних відображає чіткий намір зловмисника використовувати цифрові вторгнення як зброю для стратегічних вигод. Кожен, хто має справу з конфіденційною інформацією, повинен залишатися пильним, адже йдеться вже не лише про викрадені паролі, а й про інформаційну війну в цифровій формі.
