Il malware giftedcrook evolve in uno strumento di spionaggio avanzato
Il gruppo di attori malevoli dietro il malware giftedcrook ha recentemente apportato aggiornamenti significativi, trasformando il programma da un semplice ladro di dati del browser a un potente strumento di raccolta di informazioni. Le campagne recenti, condotte nel giugno 2025, dimostrano la capacità migliorata di giftedcrook di esfiltrare una vasta gamma di documenti sensibili dai dispositivi delle vittime, inclusi file potenzialmente proprietari e segreti del browser.
Questa evoluzione funzionale, unita al contenuto delle esche di phishing, suggerisce un focus strategico sulla raccolta di informazioni da enti governativi e militari ucraini. giftedcrook è stato documentato per la prima volta dal Computer Emergency Response Team dell’Ucraina (CERT-UA) all’inizio di aprile 2025, in relazione a una campagna mirata a entità militari, agenzie di polizia e organi di autogoverno locali.
L’attività, attribuita a un gruppo di hacker monitorato come UAC-0226, coinvolge l’uso di email di phishing contenenti documenti Microsoft Excel con macro che fungono da veicolo per distribuire giftedcrook. Alla base, il malware è progettato per rubare cookie, cronologia di navigazione e dati di autenticazione dai browser web più popolari come Google Chrome, Microsoft Edge e Mozilla Firefox.
L’analisi di Arctic Wolf ha rivelato che il ladro di informazioni è iniziato come una demo nel febbraio 2025, prima di acquisire nuove funzionalità con le versioni 1.2 e 1.3. Queste nuove iterazioni includono la capacità di raccogliere documenti e file di dimensioni inferiori a 7 MB, cercando specificamente file creati o modificati negli ultimi 45 giorni. Il malware cerca specificamente le seguenti estensioni: .doc, .docx, .rtf, .pptx, .ppt, .csv, .xls, .xlsx, .jpeg, .jpg, .png, .pdf, .odt, .ods, .rar, .zip, .eml, .txt, .sqlite e .ovpn.
Le campagne email sfruttano esche PDF a tema militare per attirare gli utenti a cliccare su un link di archiviazione cloud Mega che ospita un foglio di lavoro Excel abilitato per macro (“Список оповіщених військовозобов’язаних організації 609528.xlsm”), causando il download di giftedcrook quando il destinatario attiva le macro. Molti utenti non si rendono conto di quanto siano comuni i file Excel abilitati per macro negli attacchi di phishing. Passano inosservati perché le persone spesso si aspettano fogli di calcolo nelle email di lavoro, specialmente quelli che sembrano ufficiali o legati al governo.
Le informazioni catturate vengono raggruppate in un archivio ZIP ed esfiltrate a un canale Telegram controllato dagli attaccanti. Se la dimensione totale dell’archivio supera i 20 MB, viene suddiviso in più parti. Inviando archivi ZIP rubati in piccoli pezzi, giftedcrook evita il rilevamento e aggira i filtri di rete tradizionali. Nella fase finale, viene eseguito uno script batch per cancellare le tracce del ladro dall’host compromesso.
Questa non è solo una questione di furto di password o monitoraggio del comportamento online: si tratta di spionaggio informatico mirato. La nuova capacità del malware di setacciare i file recenti e raccogliere documenti rappresenta una minaccia significativa per la sicurezza delle informazioni.
Fonte: The Hackers News
