Hacking
GIFTEDCROOK: Η εξέλιξη του κακόβουλου λογισμικού
Το άρθρο αναλύει την εξέλιξη του GIFTEDCROOK από κλέφτη δεδομένων σε εργαλείο κυβερνοκατασκοπείας με στόχο την Ουκρανία.
Από απλός κλέφτης δεδομένων σε εργαλείο συλλογής πληροφοριών
Το κακόβουλο λογισμικό GIFTEDCROOK έχει υποστεί σημαντικές αναβαθμίσεις, μετατρέποντας το από έναν απλό κλέφτη δεδομένων περιήγησης σε ένα ισχυρό εργαλείο συλλογής πληροφοριών. Αυτή η εξέλιξη υπογραμμίζει την αυξανόμενη πολυπλοκότητα των απειλών στον κυβερνοχώρο και την ανάγκη για συνεχή επαγρύπνηση.
Σε πρόσφατη αναφορά της Arctic Wolf Labs, αναφέρεται ότι οι καμπάνιες του Ιουνίου 2025 δείχνουν την ενισχυμένη ικανότητα του GIFTEDCROOK να εξάγει ένα ευρύ φάσμα ευαίσθητων εγγράφων από τις συσκευές των στοχευμένων ατόμων, συμπεριλαμβανομένων πιθανών ιδιόκτητων αρχείων και μυστικών περιήγησης.
Στρατηγική εστίαση στη συλλογή πληροφοριών
Η αλλαγή στη λειτουργικότητα, σε συνδυασμό με το περιεχόμενο των phishing δολωμάτων, υποδηλώνει μια στρατηγική εστίαση στη συλλογή πληροφοριών από ουκρανικές κυβερνητικές και στρατιωτικές οντότητες. Οι επιθέσεις αυτές έχουν στόχο τη συλλογή ευαίσθητων δεδομένων που θα μπορούσαν να χρησιμοποιηθούν για κατασκοπεία ή άλλες κακόβουλες δραστηριότητες.
Η αρχική εμφάνιση και η εξέλιξη του GIFTEDCROOK
Το GIFTEDCROOK καταγράφηκε για πρώτη φορά από την Ομάδα Αντιμετώπισης Έκτακτων Αναγκών Υπολογιστών της Ουκρανίας (CERT-UA) στις αρχές Απριλίου 2025, σε σχέση με μια καμπάνια που στόχευε στρατιωτικές οντότητες, υπηρεσίες επιβολής του νόμου και τοπικά αυτοδιοικητικά σώματα. Η δραστηριότητα αυτή αποδίδεται σε μια ομάδα χάκερ που παρακολουθείται ως UAC-0226.
Η τεχνική του phishing και η διάδοση του κακόβουλου λογισμικού
Η ομάδα αυτή χρησιμοποιεί phishing emails που περιέχουν έγγραφα Microsoft Excel με μακροεντολές, τα οποία λειτουργούν ως αγωγός για την ανάπτυξη του GIFTEDCROOK. Στον πυρήνα του, το κακόβουλο λογισμικό είναι σχεδιασμένο να κλέβει cookies, ιστορικό περιήγησης και δεδομένα αυθεντικοποίησης από δημοφιλείς web browsers όπως το Google Chrome, το Microsoft Edge και το Mozilla Firefox.
Η εξέλιξη του κακόβουλου λογισμικού και οι νέες δυνατότητες
Η ανάλυση της Arctic Wolf αποκάλυψε ότι το κακόβουλο λογισμικό ξεκίνησε ως demo τον Φεβρουάριο του 2025, πριν αποκτήσει νέες δυνατότητες με τις εκδόσεις 1.2 και 1.3. Αυτές οι νέες εκδόσεις περιλαμβάνουν τη δυνατότητα συλλογής εγγράφων και αρχείων κάτω από 7 MB, αναζητώντας συγκεκριμένα αρχεία που δημιουργήθηκαν ή τροποποιήθηκαν τις τελευταίες 45 ημέρες.
Στόχευση και εξαγωγή δεδομένων
Οι καμπάνιες email εκμεταλλεύονται στρατιωτικά θέματα σε PDF για να δελεάσουν τους χρήστες να κάνουν κλικ σε έναν σύνδεσμο αποθήκευσης στο Mega cloud, που φιλοξενεί ένα βιβλίο εργασίας Excel με μακροεντολές. Όταν ο παραλήπτης ενεργοποιεί τις μακροεντολές, το GIFTEDCROOK κατεβαίνει στη συσκευή του. Πολλοί χρήστες δεν συνειδητοποιούν πόσο συνηθισμένα είναι τα αρχεία Excel με μακροεντολές στις επιθέσεις phishing, καθώς συχνά αναμένουν υπολογιστικά φύλλα σε επαγγελματικά emails.
Η διαδικασία εξαγωγής και αποφυγής ανίχνευσης
Οι πληροφορίες που συλλέγονται συγκεντρώνονται σε ένα αρχείο ZIP και εξάγονται σε ένα κανάλι Telegram ελεγχόμενο από τον επιτιθέμενο. Αν το συνολικό μέγεθος του αρχείου υπερβαίνει τα 20 MB, διασπάται σε μικρότερα μέρη. Με την αποστολή των κλεμμένων αρχείων ZIP σε μικρά κομμάτια, το GIFTEDCROOK αποφεύγει την ανίχνευση και παρακάμπτει τα παραδοσιακά φίλτρα δικτύου.
Η σημασία της κυβερνοκατασκοπείας
Αυτή η δραστηριότητα δεν αφορά μόνο την κλοπή κωδικών πρόσβασης ή την παρακολούθηση της διαδικτυακής συμπεριφοράς — πρόκειται για στοχευμένη κυβερνοκατασκοπεία. Η νέα ικανότητα του κακόβουλου λογισμικού να διασχίζει πρόσφατα αρχεία και να συλλέγει έγγραφα όπως PDFs, υπολογιστικά φύλλα και ακόμη και ρυθμίσεις VPN, δείχνει έναν μεγαλύτερο στόχο: τη συλλογή πληροφοριών.
Σύνδεση με γεωπολιτικά γεγονότα
Η χρονική στιγμή των καμπανιών που συζητούνται σε αυτή την αναφορά δείχνει σαφή ευθυγράμμιση με γεωπολιτικά γεγονότα, ιδιαίτερα τις πρόσφατες διαπραγματεύσεις μεταξύ Ουκρανίας και Ρωσίας στην Κωνσταντινούπολη. Η εξέλιξη από απλή κλοπή διαπιστευτηρίων στην έκδοση 1 του GIFTEDCROOK, σε ολοκληρωμένη εξαγωγή εγγράφων και δεδομένων στις εκδόσεις 1.2 και 1.3, αντικατοπτρίζει συντονισμένες προσπάθειες ανάπτυξης όπου οι δυνατότητες του κακόβουλου λογισμικού ακολούθησαν γεωπολιτικούς στόχους για την ενίσχυση της συλλογής δεδομένων από συμβιβασμένα συστήματα στην Ουκρανία.
