Kibernetska špijunaža usmjerena na Ukrajinu doživjela je značajnu promjenu s transformacijom malvera GIFTEDCROOK. Ovaj nekad jednostavni kradljivac vjerodajnica pretraživača sada je postao sofisticirana platforma za prikupljanje obavještajnih podataka.
Ovaj malver, prvobitno otkriven kao osnovni “infostealer” početkom 2025. godine, prošao je kroz strateška poboljšanja koja su se poklopila s geopolitičkim događajima, posebno s mirovnim pregovorima u Istanbulu u junu 2025. godine.
Grupa UAC-0226, odgovorna za razvoj i distribuciju GIFTEDCROOK-a, pokazala je izvanrednu prilagodljivost objavivši tri različite verzije između aprila i juna 2025. godine. Dok je prva verzija bila usredsređena isključivo na krađu podataka iz pretraživača, verzije 1.2 i 1.3 proširile su svoje mogućnosti na iscrpljivanje dokumenata, ciljajući osjetljive vladine i vojne informacije ukrajinskih institucija.
Analitičari Arctic Wolf-a otkrili su napredak ovog malvera tokom istrage spear-phishing kampanja. Te kampanje su koristile mamce u obliku PDF dokumenata s vojnom tematikom, ciljajući ukrajinsko vladino i vojno osoblje. Vrijeme ovih napada, strateški pozicionirano oko ključnih diplomatskih pregovora, ukazuje na koordinirane obavještajne operacije čiji je cilj bio prikupljanje osjetljivih informacija tokom važnih geopolitičkih trenutaka.
Napadači koriste sofisticirane taktike društvenog inženjeringa, kreirajući uvjerljive dokumente o procedurama vojne registracije i administrativnim kaznama. Na taj način zavaravaju žrtve da omoguće zlonamjerne makroe. Ovi dokumenti, distribuirani putem e-pošte s lažnim ukrajinskim lokacijama, poput Užgoroda u zapadnoj Ukrajini, sadrže kompromitovane linkove ka datotekama hostovanim u oblaku, koji na kraju aktiviraju GIFTEDCROOK.
GIFTEDCROOK verzija 1.3 pokazuje napredne mehanizme perzistencije i prikupljanja datoteka. Nakon uspješne instalacije, malver se smješta u sistemski direktorij i koristi tehnike izbjegavanja mirovanja kako bi zaobišao osnovna rješenja za “sandboxing”. Koristi se sofisticirani sistem filtriranja datoteka koji cilja dokumente modifikovane u posljednjih 45 dana, što je značajno proširenje u odnosu na prozor od 15 dana korišten u verziji 1.2. Ovaj vremenski filter osigurava prikupljanje nedavno aktivnih i potencijalno osjetljivih dokumenata, dok se održava operativna efikasnost. Ciljane ekstenzije datoteka uključuju standardne uredske formate (.doc, .docx, .pptx), multimedijalne datoteke (.jpeg, .png), arhive (.rar, .zip) i posebno OpenVPN konfiguracione datoteke (.ovpn), što ukazuje na specifičan interes za vjerodajnice za mrežni pristup.
Tehnička analiza pokazuje da malver koristi prilagođene XOR algoritme šifriranja za zaštitu prikupljenih podataka prije njihovog slanja. Proces šifriranja koristi dinamički generisane ključeve, kao što je “BPURYGBLPEWJIJJ” zabilježen u analiziranim uzorcima, čime se osigurava cjelovitost podataka tokom prenosa. Datoteke veće od 20 MB automatski se dijele na uzastopne dijelove (.01, .02) za efikasno slanje na određene Telegram kanale, što ukazuje na razmatranje praktičnih ograničenja prilikom slanja podataka. Mehanizam slanja podataka iskorištava Telegram API endpointove, sa specifičnim bot tokenima kao što je hxxps://api[.]telegram[.]org/bot7726014631:AAFe9jhCMsSZ2bL7ck35PP30TwN6Gc3nzG8/sendDocument, čime se omogućava siguran prijenos podataka. Ovaj pristup pruža napadačima pouzdane, šifrovane komunikacijske kanale, istovremeno održavajući operativnu sigurnost putem legitimnih platformi za razmjenu poruka.
