Krajolik sajber-špijunaže usmjeren na Ukrajinu doživio je značajnu transformaciju s preobrazbom GIFTEDCROOK malvera iz osnovnog kradljivca vjerodajnica pregledača u sofisticiranu platformu za prikupljanje obavještajnih podataka.
Ovaj malver, prvobitno otkriven kao jednostavan kradljivac informacija početkom 2025. godine, pretrpio je strateška poboljšanja koja se blisko poklapaju s geopolitičkim događajima, posebno s mirovnim pregovorima u Istanbulu u junu 2025. godine.
Grupa prijetnji UAC-0226, odgovorna za razvoj i implementaciju GIFTEDCROOK-a, pokazala je izvanrednu prilagodljivost izdajući tri različite verzije između aprila i juna 2025. godine.
Ono što je započelo kao verzija 1, usmjerena isključivo na krađu podataka pregledača, evoluiralo je kroz verzije 1.2 i 1.3 kako bi obuhvatilo sveobuhvatne mogućnosti eksfiltracije dokumenata, ciljajući osjetljive vladine i vojne informacije iz ukrajinskih institucija.
Analitičari Arctic Wolf-a su identifikovali napredovanje malvera tokom svoje istrage o spear-phishing kampanjama koje su koristile mamce u obliku PDF dokumenata s vojnom tematikom, konkretno ciljajući ukrajinsko vladino i vojno osoblje.
Vrijeme ovih napada, strateški pozicionirano oko ključnih diplomatskih pregovora, sugeriše koordinisane obavještajne operacije osmišljene za prikupljanje osjetljivih informacija tokom ključnih geopolitičkih trenutaka.
Akteri prijetnji koriste sofisticirane taktike socijalnog inženjeringa, kreirajući uvjerljive dokumente o procedurama vojne registracije i administrativnim kaznama kako bi prevarili mete da omoguće zlonamjerne makroe.
Ovi dokumenti, distribuirani putem e-pošte sa lažnim ukrajinskim lokacijama, posebno Užgorodom u zapadnoj Ukrajini, sadrže oružane veze ka datotekama hostovanim na cloud-u koje na kraju isporučuju GIFTEDCROOK teret.
**Napredna Postojanost i Mehanizmi Prikupljanja Datoteka**
GIFTEDCROOK verzija 1.3 pokazuje poboljšane mogućnosti malvera kroz svoj sveobuhvatan sistem prikupljanja datoteka i mehanizme postojanosti.
Nakon uspješne implementacije, malver se uspostavlja u sistemskom direktorijumu `%ProgramData%\PhoneInfo\PhoneInfo` i implementira tehnike izbjegavanja mirovanja kako bi zaobišao osnovna rješenja za sandbox.
Malver koristi sofisticiran sistem filtriranja datoteka koji cilja dokumente modificirane unutar posljednjih 45 dana, značajno se proširujući sa 15-dnevnog perioda korištenog u verziji 1.2.
Ovaj mehanizam vremenskog filtriranja osigurava prikupljanje nedavno aktivnih i potencijalno osjetljivih dokumenata uz održavanje operativne efikasnosti.
Ciljane ekstenzije datoteka uključuju standardne uredske dokumente (.doc, .docx, .pptx), multimedijalne datoteke (.jpeg, .png), arhive (.rar, .zip), i značajno OpenVPN konfiguracione datoteke (.ovpn), što ukazuje na poseban interes za vjerodajnice za mrežni pristup.
Tehnička analiza otkriva korištenje prilagođenih XOR enkripcijskih algoritama od strane malvera za osiguranje prikupljenih podataka prije eksfiltracije.
Proces enkripcije koristi dinamički generisane ključeve, poput “BPURYGBLPEWJIJJ” uočenog u analiziranim uzorcima, osiguravajući integritet podataka tokom prijenosa.
Datoteke veće od 20 MB automatski se dijele na sekvencijalne dijelove (.01, .02) radi efikasnog učitavanja na određene Telegram kanale, demonstrirajući pažnju aktera prijetnji na praktična ograničenja eksfiltracije.
Mehanizam eksfiltracije koristi Telegram API krajnje točke, sa specifičnim bot tokenima poput `hxxps://api[.]telegram[.]org/bot7726014631:AAFe9jhCMsSZ2bL7ck35PP30TwN6Gc3nzG8/sendDocument` koji olakšavaju siguran prijenos podataka.
Ovaj pristup pruža napadačima pouzdane, šifrovane komunikacijske kanale, istovremeno održavajući operativnu sigurnost putem legitimnih platformi za razmjenu poruka.
