GIFTEDCROOK 惡意軟體

名為 GIFTEDCROOK 的惡意軟體經歷了重大蛻變。它最初設計為一款基礎的瀏覽器資料竊取程序，如今已發展成為一款具有戰略重點的複雜間諜工具。 2025 年 6 月觀察到的最新攻擊活動揭示了令人震驚的增強：該惡意軟體現在瞄準受感染設備中的敏感文件和專有文件，尤其是烏克蘭政府和軍事人員的設備。

針對烏克蘭機構的攻擊

GIFTEDCROOK 於 2025 年 4 月首次被發現，當時研究人員將其與針對烏克蘭軍事實體、執法機構和地方政府機構的網路釣魚活動聯繫起來。這些活動歸咎於威脅行為者組織 UAC-0226，該組織利用帶有巨集的 Microsoft Excel 文件透過網路釣魚電子郵件傳遞惡意軟體負載。

這些釣魚郵件通常偽裝成官方通訊，使用軍事主題的 PDF 誘餌誘騙收件人點擊 Mega 雲端儲存連結。該連結包含一個啟用巨集的 Excel 文件，名為「Список оповіщених військовозобов'язаних організації 609528.х організації 609528.xlsm」。一旦啟用宏，GIFTEDCROOK 就會被悄悄下載到目標系統。

GIFTEDCROOK 竊取的內容：擴大其影響力

GIFTEDCROOK 的本質仍然是一個資訊竊取程式。該惡意軟體最初專注於提取瀏覽器數據，旨在收集 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等主流瀏覽器的 Cookie、瀏覽記錄和身份驗證憑證。

然而，隨著時間的推移，GIFTEDCROOK 的功能顯著擴展。最初於 2025 年 2 月推出演示版本，新版本 1.2 和 1.3 引入了強大的資料外洩功能，尤其能夠鎖定大小小於 7 MB 且在過去 45 天內修改過的檔案。

新目標：敏感文件和內部文檔

增強型惡意軟體專門搜尋具有以下副檔名的檔案：

文件和簡報：.doc、.docx、.rtf、.ppt、.pptx、.pdf、.odt

電子表格和資料檔：.csv、.xls、.xlsx、.ods

檔案與文字：.rar、.zip、.eml、.txt

圖片與配置：.jpeg、.jpg、.png、.sqlite、.ovpn

這種關注點的轉變，從瀏覽器憑證到最近和相關的文檔，凸顯了 GIFTEDCROOK 在有針對性的情報收集中的作用。

資料外洩方法：保持低調

一旦惡意軟體收集到所需文件，就會將竊取的資料壓縮成一個 ZIP 壓縮包。如果壓縮包超過 20 MB，則會被分割成更小的部分。這些碎片會透過攻擊者控制的 Telegram 頻道洩露，這種方法有助於規避偵測並繞過傳統的網路安全工具。

為了掩蓋其蹤跡，在最後階段執行批次腳本，從受感染的主機中刪除惡意軟體的證據。

戰略間諜活動，而不僅僅是盜竊

GIFTEDCROOK 不只是一個憑證竊取程序，它還是一個網路間諜工具。它能夠竊取電子表格、PDF 和 VPN 配置等最新敏感文檔，這表明它蓄意從公共部門員工和內部系統中竊取情報。其風險巨大：任何個人入侵都可能危及整個機構網路。

地緣政治時機與協調發展

該惡意軟體的部署與地緣政治熱點相吻合，尤其是烏克蘭與俄羅斯之間的伊斯坦堡談判。這種關聯表明，GIFTEDCROOK 的增強並非巧合，而是旨在根據政治事件擴展監控能力的協同發展策略的一部分。

結論：日益增長的威脅反映了全球緊張局勢

GIFTEDCROOK 從一個普通的瀏覽器資料竊取程式演變為一個全方位的間諜平台，這反映出國家機構面臨的網路威脅日益複雜。該惡意軟體的版本演變，加上精心設計的網路釣魚策略和智慧數據收集技術，反映出對手意圖將數位入侵武器化以獲取戰略利益的明顯意圖。任何處理敏感資訊的人都必須保持警惕，這不再只是一場密碼竊取，而是一場以數位形式展開的資訊戰。