GIFTEDCROOK 恶意软件

名为 GIFTEDCROOK 的恶意软件经历了重大蜕变。它最初设计为一款基础的浏览器数据窃取程序，如今已发展成为一款具有战略重点的复杂间谍工具。2025 年 6 月观察到的最新攻击活动揭示了令人震惊的增强：该恶意软件现在瞄准受感染设备中的敏感文档和专有文件，尤其是乌克兰政府和军事人员的设备。

针对乌克兰机构的攻击

GIFTEDCROOK 于 2025 年 4 月首次被发现，当时研究人员将其与针对乌克兰军事实体、执法机构和地方政府机构的网络钓鱼活动联系起来。这些活动归咎于威胁行为者组织 UAC-0226，该组织利用带有宏的 Microsoft Excel 文档通过网络钓鱼电子邮件传递恶意软件负载。

这些钓鱼邮件通常伪装成官方通讯，使用军事主题的 PDF 诱饵诱骗收件人点击 Mega 云存储链接。该链接包含一个启用宏的 Excel 文件，名为“Список оповіщених військовозобов'язаних організації 609528.xlsm”。一旦启用宏，GIFTEDCROOK 就会被悄悄下载到目标系统。

GIFTEDCROOK 窃取的内容：扩大其影响力

GIFTEDCROOK 的本质仍然是一个信息窃取程序。该恶意软件最初专注于提取浏览器数据，旨在收集 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等主流浏览器的 Cookie、浏览历史记录和身份验证凭据。

然而，随着时间的推移，GIFTEDCROOK 的功能显著扩展。最初于 2025 年 2 月推出演示版本，新版本 1.2 和 1.3 引入了强大的数据泄露功能，尤其能够锁定大小小于 7 MB 且在过去 45 天内修改过的文件。

新目标：敏感文件和内部文档

增强型恶意软件专门搜索具有以下扩展名的文件：

文档和演示文稿：.doc、.docx、.rtf、.ppt、.pptx、.pdf、.odt

电子表格和数据文件：.csv、.xls、.xlsx、.ods

档案和文本：.rar、.zip、.eml、.txt

图像和配置：.jpeg、.jpg、.png、.sqlite、.ovpn

这种关注点的转变，从浏览器凭证到最近和相关的文档，凸显了 GIFTEDCROOK 在有针对性的情报收集中的作用。

数据泄露方法：保持低调

一旦恶意软件收集到所需文件，就会将窃取的数据压缩成一个 ZIP 压缩包。如果压缩包超过 20 MB，则会被拆分成更小的部分。这些碎片会通过攻击者控制的 Telegram 频道进行泄露，这种方法有助于规避检测并绕过传统的网络安全工具。

为了掩盖其踪迹，在最后阶段执行批处理脚本，从受感染的主机中删除恶意软件的证据。

战略间谍活动，而不仅仅是盗窃

GIFTEDCROOK 不仅仅是一个凭证窃取程序，它还是一个网络间谍工具。它能够窃取电子表格、PDF 和 VPN 配置等最新敏感文档，这表明它蓄意从公共部门员工和内部系统中窃取情报。其风险巨大：任何个人入侵都可能危及整个机构网络。

地缘政治时机与协调发展

该恶意软件的部署与地缘政治热点相吻合，尤其是乌克兰与俄罗斯之间的伊斯坦布尔谈判。这种关联表明，GIFTEDCROOK 的增强并非巧合，而是旨在根据政治事件扩展监控能力的协同发展战略的一部分。

结论：日益增长的威胁反映了全球紧张局势

GIFTEDCROOK 从一个普通的浏览器数据窃取程序演变为一个全方位的间谍平台，这反映出国家机构面临的网络威胁日益复杂。该恶意软件的版本演变，加上精心设计的网络钓鱼策略和智能数据收集技术，反映出对手意图将数字入侵武器化以获取战略利益的明显意图。任何处理敏感信息的人都必须保持警惕，这不再仅仅是一场密码窃取，而是一场以数字形式展开的信息战。