Kibersigurnosna scena usmjerena na Ukrajinu svjedoči značajnoj evoluciji pretvaranjem malvera GIFTEDCROOK, prvobitno rudimentarnog alata za krađu vjerodajnica iz pretraživača, u sofisticiranu platformu za prikupljanje obavještajnih podataka.
Ovaj malver, otkriven početkom 2025. godine kao osnovni skupljač informacija, prošao je kroz strateška poboljšanja koja se pažljivo poklapaju s geopolitičkim događajima, posebno s mirovnim pregovorima u Istanbulu u junu 2025.
Grupa prijetnji UAC-0226, odgovorna za razvoj i implementaciju GIFTEDCROOK-a, pokazala je izuzetnu prilagodljivost objavljivanjem tri različite verzije između aprila i juna 2025. godine.
Ono što je započelo kao verzija 1, fokusirana isključivo na krađu podataka iz pretraživača, evoluiralo je kroz verzije 1.2 i 1.3 kako bi obuhvatilo sveobuhvatne mogućnosti za izvoz dokumenata, ciljajući osjetljive vladine i vojne informacije iz ukrajinskih institucija.
Analitičari Arctic Wolf-a su identifikovali napredovanje malvera tokom svoje istrage ciljanih kampanja putem elektronske pošte koje su koristile PDF mamce s vojnom tematikom, specifično usmjerene na ukrajinsko vladino i vojno osoblje.
Vremenski raspored ovih napada, strateški pozicioniran oko ključnih diplomatskih pregovora, ukazuje na koordinisane obavještajne operacije osmišljene za prikupljanje osjetljivih informacija tokom presudnih geopolitičkih trenutaka.
Akteri prijetnji primjenjuju sofisticirane taktike socijalnog inženjeringa, kreirajući uvjerljive dokumente o procedurama vojne registracije i administrativnim kaznama kako bi prevarili mete i naveli ih da omoguće zlonamjerne makroe.
Ovi dokumenti, distribuirani putem elektronske pošte s lažnim ukrajinskim lokacijama, posebno Užgorodom u zapadnoj Ukrajini, sadrže naoružane linkove ka datotekama hostovanim u oblaku koji na kraju isporučuju GIFTEDCROOK teret.
GIFTEDCROOK verzija 1.3 pokazuje poboljšane mogućnosti malvera kroz svoju sveobuhvatnu strategiju prikupljanja datoteka i mehanizme persistencije.
Nakon uspješne implementacije, malver se etablira u sistemski direktorijum `%ProgramData%\PhoneInfo\PhoneInfo` i implementira tehnike izbjegavanja mirovanja kako bi zaobišao osnovna rješenja za sandboxing.
Malver koristi sofisticirani sistem filtriranja datoteka koji cilja dokumente izmijenjene u posljednjih 45 dana, značajno proširujući raspon u odnosu na prozor od 15 dana korišten u verziji 1.2.
Ovaj mehanizam vremenskog filtriranja osigurava prikupljanje nedavno aktivnih i potencijalno osjetljivih dokumenata uz održavanje operativne efikasnosti.
Ciljane ekstenzije datoteka uključuju standardne uredske dokumente (.doc, .docx, .pptx), multimedijalne datoteke (.jpeg, .png), arhive (.rar, .zip) i, što je značajno, konfiguracijske datoteke OpenVPN (.ovpn), ukazujući na poseban interes za vjerodajnice za mrežni pristup.
Tehnička analiza otkriva korištenje prilagođenih XOR enkripcijskih algoritama od strane malvera za osiguranje prikupljenih podataka prije njihovog izvoza.
Proces enkripcije koristi dinamički generisane ključeve, kao što je “BPURYGBLPEWJIJJ” zapaženo u analiziranim uzorcima, osiguravajući integritet podataka tokom prijenosa.
Datoteke veće od 20 MB automatski se dijele na uzastopne dijelove (.01, .02) za efikasno slanje na određene Telegram kanale, pokazujući pažnju aktera prijetnji na praktična ograničenja izvoza.
Mehanizam izvoza koristi Telegram API endpointove, sa specifičnim bot tokenima kao što je `hxxps://api[.]telegram[.]org/bot7726014631:AAFe9jhCMsSZ2bL7ck35PP30TwN6Gc3nzG8/sendDocument` koji olakšavaju siguran prijenos podataka.
Ovaj pristup pruža napadačima pouzdane, šifrovane komunikacijske kanale, istovremeno održavajući operativnu sigurnost putem legitimnih platformi za razmjenu poruka.
