Phần mềm độc hại GIFTEDCROOK

Phần mềm độc hại có tên GIFTEDCROOK đã trải qua một sự chuyển đổi đáng kể. Ban đầu được thiết kế như một trình đánh cắp dữ liệu trình duyệt cơ bản, giờ đây nó đã phát triển thành một công cụ gián điệp tinh vi với trọng tâm chiến lược. Các chiến dịch gần đây được quan sát vào tháng 6 năm 2025 cho thấy một sự cải tiến đáng báo động: phần mềm độc hại hiện nhắm mục tiêu vào các tài liệu nhạy cảm và các tệp độc quyền từ các thiết bị bị xâm phạm, đặc biệt là những thiết bị thuộc về chính phủ và quân nhân Ukraine.

Một cuộc tấn công có chủ đích vào các tổ chức của Ukraine

GIFTEDCROOK lần đầu tiên được phát hiện vào tháng 4 năm 2025, khi các nhà nghiên cứu liên kết nó với các chiến dịch lừa đảo nhắm vào các thực thể quân sự, cơ quan thực thi pháp luật và các cơ quan chính quyền địa phương ở Ukraine. Các chiến dịch này được cho là do nhóm tác nhân đe dọa UAC-0226 thực hiện, nhóm này sử dụng các tài liệu Microsoft Excel có chứa macro để phân phối phần mềm độc hại thông qua email lừa đảo.

Các tin nhắn lừa đảo thường bắt chước các thông tin liên lạc chính thức, sử dụng các mồi nhử PDF theo chủ đề quân sự để lừa người nhận nhấp vào liên kết lưu trữ đám mây Mega. Liên kết này lưu trữ một tệp Excel hỗ trợ macro có tên là 'Список оповіщених військовозобов'язаних організації 609528.xlsm'. Sau khi bật macro, GIFTEDCROOK sẽ được tải xuống hệ thống mục tiêu một cách âm thầm.

GIFTEDCROOK đánh cắp những gì: Mở rộng phạm vi tiếp cận của mình

Về bản chất, GIFTEDCROOK vẫn là một kẻ đánh cắp thông tin. Ban đầu tập trung vào việc trích xuất dữ liệu trình duyệt, phần mềm độc hại này được thiết kế để thu thập cookie, lịch sử duyệt web và thông tin xác thực từ các trình duyệt chính như Google Chrome, Microsoft Edge và Mozilla Firefox.

Tuy nhiên, theo thời gian, khả năng của GIFTEDCROOK đã mở rộng đáng kể. Bắt đầu là phiên bản demo vào tháng 2 năm 2025, các phiên bản 1.2 và 1.3 mới hơn đã giới thiệu các tính năng trích xuất dữ liệu mạnh mẽ, đặc biệt là khả năng nhắm mục tiêu vào các tệp có kích thước dưới 7 MB và được sửa đổi trong vòng 45 ngày qua.

Mục tiêu mới: Tệp tin nhạy cảm và Tài liệu nội bộ

Phần mềm độc hại nâng cao này đặc biệt tìm kiếm các tệp có phần mở rộng sau:

Tài liệu và Bài thuyết trình: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt

Bảng tính và Tệp dữ liệu: .csv, .xls, .xlsx, .ods

Lưu trữ và Văn bản: .rar, .zip, .eml, .txt

Hình ảnh và Cấu hình: .jpeg, .jpg, .png, .sqlite, .ovpn

Sự thay đổi trọng tâm này, từ thông tin xác thực của trình duyệt sang các tài liệu gần đây và có liên quan, nhấn mạnh vai trò của GIFTEDCROOK trong việc thu thập thông tin tình báo có mục tiêu.

Phương pháp thẩm thấu: Giữ bí mật

Sau khi phần mềm độc hại thu thập các tệp mong muốn, nó sẽ nén dữ liệu bị đánh cắp vào một tệp ZIP. Nếu tệp vượt quá 20 MB, nó sẽ được chia thành các phần nhỏ hơn. Các phần này được trích xuất thông qua một kênh Telegram do kẻ tấn công kiểm soát, một phương pháp giúp tránh bị phát hiện và vượt qua các công cụ bảo mật mạng truyền thống.

Để che giấu dấu vết, một tập lệnh hàng loạt sẽ được thực thi ở giai đoạn cuối, xóa bằng chứng về phần mềm độc hại khỏi máy chủ bị nhiễm.

Gián điệp chiến lược, không chỉ là trộm cắp

GIFTEDCROOK không chỉ là một kẻ đánh cắp thông tin xác thực, mà còn là một công cụ gián điệp mạng. Khả năng thu thập các tài liệu gần đây và nhạy cảm như bảng tính, PDF và cấu hình VPN cho thấy mục đích cố ý trích xuất thông tin tình báo từ các nhân viên khu vực công và các hệ thống nội bộ. Rủi ro là rất lớn: bất kỳ sự xâm phạm cá nhân nào cũng có thể gây nguy hiểm cho toàn bộ mạng lưới của tổ chức.

Thời điểm địa chính trị và phát triển phối hợp

Việc triển khai phần mềm độc hại này phù hợp với các điểm nóng địa chính trị, đáng chú ý là các cuộc đàm phán Istanbul giữa Ukraine và Nga. Mối tương quan này cho thấy rằng các cải tiến của GIFTEDCROOK không phải là ngẫu nhiên mà là một phần của chiến lược phát triển có sự phối hợp nhằm mở rộng khả năng giám sát theo các sự kiện chính trị.

Kết luận: Một mối đe dọa ngày càng gia tăng phản ánh những căng thẳng toàn cầu

Sự tiến hóa của GIFTEDCROOK, từ một tên trộm dữ liệu trình duyệt khiêm tốn thành một nền tảng gián điệp toàn diện, phản ánh sự phức tạp ngày càng tăng của các mối đe dọa mạng mà các tổ chức quốc gia phải đối mặt. Sự tiến triển của phiên bản phần mềm độc hại, kết hợp với các chiến thuật lừa đảo được xây dựng khéo léo và thu thập dữ liệu thông minh, phản ánh ý định rõ ràng của kẻ thù là biến các cuộc xâm nhập kỹ thuật số thành vũ khí để đạt được lợi ích chiến lược. Bất kỳ ai ở vị trí xử lý thông tin nhạy cảm đều phải luôn cảnh giác, đây không còn chỉ là về mật khẩu bị đánh cắp mà là chiến tranh thông tin dưới dạng kỹ thuật số.