De dreigingsacteur achter de GiftedCrook-malware heeft belangrijke updates gemaakt om het kwaadaardige programma te veranderen van een basisbrowser Data Stealer naar een krachtige tool voor het verzamelen van intelligentie.
“Recente campagnes in juni 2025 demonstreren het verbeterde vermogen van GiftedCrook om een breed scala aan gevoelige documenten te exfiltreren van de apparaten van gerichte individuen, waaronder mogelijk gepatenteerde bestanden en browsersecrets,” zei Arctic Wolf Labs in een rapport dat deze week werd gepubliceerd.
“Deze verschuiving in functionaliteit, gecombineerd met de inhoud van zijn phishing -kunstaas, (…) suggereert een strategische focus op het verzamelen van inlichtingen uit Oekraïense overheids- en militaire entiteiten.”
GiftedCrook werd voor het eerst gedocumenteerd door het Computer Emergency Response Team van Oekraïne (Cert-UA) begin april 2025 in verband met een campagne gericht op militaire entiteiten, wetshandhavingsinstanties en lokale zelfbestuur.
De activiteit, toegeschreven aan een hackgroep die het volgt als UAC-0226, omvat het gebruik van phishing-e-mails met macro-geregen Microsoft Excel-documenten die fungeren als een kanaal om GiftedCrook te implementeren.
Een informatie -stealer in de kern, de malware is ontworpen om cookies te stelen, te browsengeschiedenis en authenticatiegegevens van populaire webbrowsers zoals Google Chrome, Microsoft Edge en Mozilla Firefox.
De analyse van de artefacten van Arctic Wolf heeft aangetoond dat de Stealer in februari 2025 begon als demo, voordat hij nieuwe functies kreeg met versies 1.2 en 1.3.
Deze nieuwe iteraties omvatten de mogelijkheid om documenten en bestanden onder de 7 MB groot te oogsten, specifiek op zoek naar bestanden die zijn gemaakt of gewijzigd binnen de afgelopen 45 dagen. De malware zoekt specifiek naar de volgende extensies: .doc, .docx, .rtf, .pptx, .ppt, .csv, .xls, .xlsx, .jpeg, .jpg, .png, .pdf, .odt, .Ods, .rar, .zip, .txt, .sqlite, en.
The email campaigns leverage military-themed PDF lures to entice users into clicking on a Mega cloud storage link that hosts a macro-enabled Excel workbook (“Список оповіщених військовозобов’язаних організації 609528.xlsm”), causing GIFTEDCROOK te downloaden worden wanneer de ontvanger macro’s inschakelt. Veel gebruikers realiseren zich niet hoe vaak Macro-compatibele Excel-bestanden zijn bij phishing-aanvallen. Ze glijden voorbij de verdediging omdat mensen vaak spreadsheets verwachten in werk-e-mails-vooral degenen die er officieel of overheid gerelateerd uitzien.
De vastgelegde informatie wordt gebundeld in een zip-archief en geëxfiltreerd naar een door aanvallers gecontroleerd telegramkanaal. Als de totale archiefgrootte groter is dan 20 MB, wordt deze opgesplitst in meerdere delen. Door gestolen zip -archieven in kleine brokken te verzenden, vermijdt GiftedCrook detectie en slaat hij rond traditionele netwerkfilters over. In de laatste fase wordt een batchscript uitgevoerd om sporen van de stealer van de gecompromitteerde host te wissen.
Dit gaat niet alleen over het stelen van wachtwoorden of het volgen van online gedrag – het is gerichte cyberspionage. De nieuwe mogelijkheid van de malware om recente bestanden door te blazen en documenten zoals PDF’s, spreadsheets en zelfs VPN -configures te pakken, wijst op een groter doel: het verzamelen van intelligentie. Voor iedereen die in de publieke sector werkt of gevoelige interne rapporten afhandelt, vormt dit soort document Stealer een reëel risico – niet alleen voor het individu, maar voor het hele netwerk waarmee ze zijn verbonden.
“De timing van de in dit rapport besproken campagnes toont een duidelijke afstemming op geopolitieke gebeurtenissen, met name de recente onderhandelingen tussen Oekraïne en Rusland in Istanbul,” zei Arctic Wolf.
“De progressie van eenvoudige diefstal van de referenties in GiftedCrook versie 1, naar uitgebreide document- en gegevens -exfiltratie in versies 1.2 en 1.3, weerspiegelt gecoördineerde ontwikkelingsinspanningen waarbij malware -mogelijkheden volgden op geopolitieke doelstellingen om gegevensverzameling te verbeteren uit gecompromitteerde systemen in Oekraïne.”
