کمیته رکن چهارم – بررسیهای امنیتی جدید نشان میدهد که بدافزار GIFTEDCROOK که پیشتر تنها برای سرقت اطلاعات مرورگرها مورد استفاده قرار میگرفت، اکنون به ابزاری پیشرفته برای جمعآوری گسترده دادههای حساس تبدیل شده است. این تحول در کمپینهای فیشینگ اخیر شناسایی شده که نهادهای دولتی و نظامی اوکراین را هدف قرار دادهاند.
به گزارش کمیته رکن چهارم، آزمایشگاه Arctic Wolf اعلام کرده که نسخههای جدید این بدافزار، که در خرداد ۱۴۰۴ شناسایی شدهاند، قابلیت استخراج اسناد مختلف با فرمتهایی نظیر PDF، Excel، Word، تصاویر و فایلهای فشرده را دارند. فایلهایی که در ۴۵ روز گذشته ایجاد یا ویرایش شدهاند، بهویژه هدف قرار میگیرند.
گزارشها حاکی است این بدافزار برای نخستینبار در فروردین ۱۴۰۴ توسط مرکز CERT-UA شناسایی شده و به گروهی موسوم به UAC-0226 نسبت داده شده است. روش نفوذ معمول شامل ارسال ایمیلهایی با فایلهای اکسل حاوی ماکرو است که پس از اجرا، بدافزار را روی سیستم قربانی نصب میکند.
اطلاعات سرقتشده به کانال تلگرامی تحت کنترل مهاجمان منتقل میشود. چنانچه حجم فایلها بالا باشد، آنها به قطعات کوچک تقسیم میشوند تا از شناسایی توسط سامانههای امنیتی در امان بمانند. در پایان نیز اسکریپتی برای حذف آثار بدافزار از سیستم اجرا میشود.
کارشناسان این حملات را در چارچوب تلاش برای جاسوسی سایبری هدفمند و مرتبط با تنشهای ژئوپلیتیکی اخیر در منطقه ارزیابی کردهاند؛ بهویژه با توجه به مذاکرات میان اوکراین و روسیه که همزمان با این کمپینها در جریان بوده است.
