GIFTEDCROOK اکنون یک جاسوسی تمام‌عیار است

به‌تازگی هکرهای پشت پرده‌ بدافزار GIFTEDCROOK، این بدافزار را به‌طور قابل توجهی ارتقا داده‌اند؛ به‌طوری که از یک برنامه ساده برای سرقت داده‌های مرورگر به ابزاری قدرتمند برای جمع‌آوری اطلاعات محرمانه تبدیل شده است.

به گزارش افتانا، طبق گزارش آزمایشگاه Arctic Wolf، کمپین‌های جدیدی که در ژوئن ۲۰۲۵ شناسایی شده‌اند، نشان می‌دهد GIFTEDCROOK اکنون می‌تواند دامنه‌ گسترده‌ای از اسناد حساس را از دستگاه‌های قربانیان استخراج کند؛ از فایل‌های محرمانه‌ی احتمالی گرفته تا داده‌های پنهان مرورگر.

این تغییر عملکرد، همراه با محتوای فریب‌دهنده‌ ایمیل‌های فیشینگ این گروه، نشان می‌دهد که هدف اصلی این حملات، جمع‌آوری اطلاعات از نهادهای دولتی و نظامی اوکراین است. بدافزار GIFTEDCROOK اولین‌بار در آوریل ۲۰۲۵ توسط تیم واکنش اضطراری کامپیوتر اوکراین (CERT-UA) شناسایی شد. این بدافزار در حملاتی علیه نهادهای نظامی، نیروهای انتظامی و ارگان‌های دولتی محلی استفاده می‌شود.

فعالیت این بدافزار که به یک گروه هکری با نام UAC-0226 نسبت داده شده با ایمیل‌های فیشینگ آغاز می‌شود. این ایمیل‌ها حاوی فایل‌های اکسل آلوده به ماکرو هستند که بعد از باز شدن، بدافزار را روی سیستم قربانی نصب می‌کنند. در اصل، GIFTEDCROOK یک سرقت‌کننده اطلاعات است که کوکی‌ها، تاریخچه مرورگر و داده‌های احراز هویت مرورگرهایی مثل کروم، اج و فایرفاکس را سرقت می‌کند.

بررسی Arctic Wolf نشان می‌دهد این بدافزار در ابتدا به‌عنوان نسخه‌ نمایشی در فوریه ۲۰۲۵ منتشر شد و بعداً در نسخه‌های ۱.۲ و ۱.۳ قابلیت‌های پیشرفته‌تری پیدا کرد. نسخه‌های جدید می‌توانند فایل‌ها و اسنادی تا سقف ۷ مگابایت را هم جمع‌آوری کنند؛ به‌ویژه فایل‌هایی که در ۴۵ روز گذشته ایجاد یا تغییر یافته‌اند. انواع فایل‌هایی که این بدافزار جست‌وجو می‌کند شامل : doc، docx، rtf، pptx، ppt، csv، xls، xlsx، jpeg، jpg، png، pdf، odt، ods، rar، zip، eml، txt، sqlite و ovpn است.

هکرها از فایل‌های PDF با موضوعات نظامی برای فریب کاربر استفاده می‌کنند. در این ایمیل‌ها لینکی به فضای ابری Mega قرار دارد که فایل اکسل آلوده‌ای با یک عنوان رسمی میزبانی می‌شود. اگر کاربر ماکرو را فعال کند، بدافزار دانلود و اجرا می‌شود. بسیاری از کاربران هنوز نمی‌دانند که فایل‌های اکسل مجهز به ماکرو، یکی از رایج‌ترین ابزارهای حملات فیشینگ هستند چون اغلب ظاهری اداری و رسمی دارند.

اطلاعات سرقت‌شده در قالب یک فایل ZIP بسته‌بندی شده و از طریق یک کانال تلگرام تحت کنترل هکرها ارسال می‌شود. اگر حجم فایل‌ها بیشتر از ۲۰ مگابایت باشد، بدافزار آن‌ها را به بخش‌های کوچک‌تر تقسیم می‌کند تا از فیلترهای امنیتی شبکه عبور کند. در نهایت، اسکریپتی اجرا می‌شود تا همه ردپاهای بدافزار از سیستم پاک شود.

این حمله فقط به دزدیدن رمز عبور محدود نیست؛ بلکه یک عملیات جاسوسی سایبری هدفمند است. قابلیت جدید بدافزار برای جمع‌آوری اسناد، گزارش‌ها، و حتی فایل‌های پیکربندی VPN نشان می‌دهد که هدف، دسترسی به اطلاعات حساس‌تر و ارزشمندتر است—آن هم در ابعادی که می‌تواند امنیت شبکه‌های دولتی را تهدید کند.

Arctic Wolf در این باره گفته است که زمان‌بندی این کمپین‌ها هم‌راستا با تحولات ژئوپلیتیکی اخیر، به‌ویژه مذاکرات اخیر بین اوکراین و روسیه در استانبول است. به گفته این شرکت، سیر پیشرفت GIFTEDCROOK از یک سرقت‌کننده ساده رمز عبور در نسخه یک تا یک ابزار پیشرفته برای سرقت اسناد و داده‌ها در نسخه‌های جدید، نشان‌دهنده‌ توسعه‌ای هماهنگ با اهداف سیاسی برای جمع‌آوری اطلاعات از سیستم‌های دولتی اوکراین است.