Вредоносное программное обеспечение GIFTEDCROOK за первые полгода 2025 года прошло яркую трансформацию, серьезно увеличив свои возможности и изменив направленность с простой кражи данных пользователей до масштабного кибершпионажа. Изначально выявленное в апреле 2025 года украинской командой реагирования на инциденты (CERT-UA), вредоносное ПО быстро эволюционировало, что говорит о серьезной заинтересованности злоумышленников в сборе стратегической информации, в первую очередь из военных и правительственных структур Украины. Хакерская группа, с которой связывают распространение GIFTEDCROOK, получила кодовое обозначение UAC-0226 и использует тщательно продуманные методы социального инжиниринга для заражения целей. Основным каналом распространения остаются фишинговые кампании, содержащие вредоносные Excel-документы с активированными макросами. Эти файлы выглядят официально и сопровождаются военной тематикой, что повышает вероятность открытия пользователями.
К примеру, используется файл с названием на украинском языке, который переводится как "Список уведомленных военнообязанных...", мотивируя получателя просмотреть документ. Именно при активации макросов запускается загрузка и установка GIFTEDCROOK на целевом устройстве.
Ранее, в своей начальной версии, GIFTEDCROOK был преимущественно ориентирован на кражу браузерных данных, включая куки, историю просмотров и различные формы аутентификационной информации из популярных браузеров, таких как Google Chrome, Microsoft Edge и Mozilla Firefox. Такая функциональность уже представляет угрозу для конфиденциальности пользователей и безопасности аккаунтов. Однако обновления версий 1.2 и 1.3 обогатили функционал программы возможностями поиска и кражи самых разнообразных документов и файлов.
Новые версии способны находить и извлекать из зараженных систем файлы размером до 7 мегабайт, что позволяет похищать не только пароли и куки, но и актуальные документы служб и ведомств. Программа сканирует файлы, относящиеся к наиболее распространенным форматам офисных документов (.doc, .docx, .pptx, .
xls, .xlsx и др.), электронным письмам (.eml), архивам (.rar, .
zip) и важной конфигурационной информации, включая VPN-конфигурации (.ovpn). Отбор файлов производится по дате создания или изменения – только документы, созданные или изменённые в последние 45 дней, вызывают интерес злоумышленников, что свидетельствует о целенаправленном сборе свежей информации. Эксперты из Arctic Wolf Labs отмечают, что стратегия хранения и выведения данных с инфицированных систем также претерпела изменения. Собранная информация сначала упаковывается в ZIP-архивы, после чего передается через популярный мессенджер Telegram в специальные каналы, контролируемые хакерами.
Если размер архива превышает 20 мегабайт, он разбивается на небольшие части для обхода сетевых фильтров и систем обнаружения. Это свидетельствует о высоком уровне технической подготовки атакующих, использующих сложные методы для минимизации риска утечки информации и обнаружения вредоносной активности. Кроме того, после того как информация успешно отправляется злоумышленникам, вредоносная программа запускает скрипты очистки, удаляя свои следы с зараженной машины. Такой подход усложняет расследование атак и затрудняет проведение судебно-технической экспертизы. Невнимательность пользователей и устаревшие методы информационной защиты позволяют злоумышленникам успешно эксплуатировать подобные инструменты.
Российско-украинский конфликт и сопутствующие дипломатические события, включая переговоры в Стамбуле, по мнению аналитиков Arctic Wolf, напрямую повлияли на развитие и применение GIFTEDCROOK. Временная привязка атак и содержание фишинговых сообщений позволяют сделать вывод о том, что вредоносное ПО служит части широкой кибершпионской кампании, направленной на украинские госструктуры с целью сбора стратегической информации. Угроза, исходящая от GIFTEDCROOK, значительно превосходит традиционное мошенничество с краже паролей или вторжение в личные аккаунты. Похищение конфиденциальных документов, включая внутренние отчёты, технические спецификации и базы данных аутентификации, наносит удар по национальной безопасности и повышает риск масштабных утечек данных на государственном уровне. Это, в свою очередь, может ослабить защитные возможности страны, обеспечить преимущество оппоненту и повлиять на ход военных и политических процессов.
Для организаций государственного сектора и частных компаний, особенно тех, кто сотрудничает с государственными органами, появление таких угроз требует пересмотра подходов к информационной безопасности и повышенного внимания к пользовательскому обучению. Осознание того, что под видом привычных рабочих документов могут скрываться вредоносные макросы, должно стать неотъемлемой частью безопасности. Современные решения по защите конечных точек, включающие методы обнаружения макросов и контроль доступа к файловым хранилищам, только частично могут справиться с подобными атаками, требуя комплексного подхода и непрерывного мониторинга ситуаций. Дополнительно следует уделять внимание новым тактикам злоумышленников, включая фрагментацию данных при эксфильтрации и использование популярных приложений для скрытого канала передачи информации. Итоговая картина использования GIFTEDCROOK — это не просто история очередного вируса или трояна, а пример того, как современные киберугрозы адаптируются и развиваются, чтобы отвечать интересам геополитических игроков.
Вредоносное ПО превращается в инструмент кибервойн, где неважно, насколько сложна защита от традиционных атак — важен анализ поведения и своевременное обнаружение новых тактик и техник злоумышленников. Следует отметить, что подобные угрозы всегда представляют двойную опасность: во-первых, для конкретных заражённых пользователей, потерявших контроль над конфиденциальной информацией, и, во-вторых, для организаций и государств, чьи данные и стратегии могут вестись злоумышленниками к переговорам во вред интересам их безопасности. В итоге, опыт с GIFTEDCROOK подчеркивает необходимость международного сотрудничества и обмена разведданными в сфере кибербезопасности, а также постоянного совершенствования механизмов защиты и профилактики. Без комплексных мер и активного реагирования такие угрозы, несомненно, будут продолжать развиваться и представлять серьезную опасность для информационного пространства по всему миру. Ключом к успешной защите сегодня остаются грамотное обучение пользователей, внедрение продвинутых систем мониторинга, а также оперативное реагирование на возникающие угрозы.
Лишь синергия всех этих компонентов способна обеспечить необходимый уровень безопасности перед лицом современных вызовов, таких как представленный GIFTEDCROOK.
![Wait Who's the New CEO of Commodore? • Let's Buy Commodore Part 2 [video]](/images/8E18CF4E-806D-4B74-B06B-FE986922155E)
