Giftedcrook infostealer
A Giftedcrook néven ismert infostealer malware-t üzemeltető csoport, a UAC–0226, az elmúlt hónapok során jelentős fejlődésen ment át. A kezdetben kizárólag böngészőadatokra fókuszáló eszköz idén márciusban élesedett, majd folyamatos frissítésekkel kibővült a dokumentumok és fájlok koncentrált lopására. Ez a stratégiaváltás különösen az ukrán kormányzati és katonai szervezetek ellen irányuló kampány részeként történt, időzítve a törékeny béketárgyalásokhoz – például a június 2-i isztambuli egyeztetésekhez.
A fertőzés spear‑phishing levelekkel következik be, amelyek gyakran katonai témájú PDF csali mellékletet tartalmaznak, illetve cloud linkekre hivatkoznak. A visszahívás v1.2 verziótól már nem csak böngészők, hanem akár 7 MB-nál kisebb fájlok is célkeresztbe kerülnek – különösen PDF, Word, Excel, képek, VPN konfigurációk – melyek a legutóbbi 45 napban változtak. Az így összegyűjtött adatokat ZIP archívumban továbbítja a támadó egy Telegram bot segítségével, darabokra bontva a nagyobb fájlcsomagokat.
A kampány technikai fejlődése: v1 -> böngészőadatok, v1.2 -> fájlok exfiltrálása, v1.3 -> mindkettő egyesítése, kibővített időkerettel. Emellett a malware letakarítja önmagát a rendszerből egy batch-szkripttel, így igény szerint eltünteti nyomait.
A levelezési infrastruktúrában szerepe van más kampányoknak is, például NetSupport RAT-disztribúcióknak, amelyek arra utalnak, hogy a csoport multi-pronged módszerrel dolgozik, több támadási platformot is használva az ukrán célpontok ellen.
A Giftedcrook korábbi böngészőadat-lopó szerepéből olyan komplex adatkinyerő platformmá fejlődött, amely dokumentumok, konfigurációk és böngészési hitelesítések mellett jelentős memóriában futó tevékenységeket is végez. A stratégiai időzítés – főleg az ukrán politikai folyamatokhoz igazítva – komoly hír‑ és hadműveleti támogatás jele.
