El actor de amenaza detrás del malware de GifedCrook ha realizado actualizaciones significativas para convertir el software bellaco de un robador cardinal de datos del navegador a una potente utensilio de monasterio de inteligencia.
“Las campañas recientes en junio de 2025 demuestran la capacidad mejorada de GifteedCrook para exfiltrar una amplia escala de documentos sensibles de los dispositivos de individuos específicos, incluidos archivos potencialmente propietarios y secretos del navegador”, dijo Arctic Wolf Labs en un noticia publicado esta semana.
“Este cambio en la funcionalidad, combinado con el contenido de sus señuelos de phishing, (…) sugiere un enfoque decisivo en la resumen de inteligencia de entidades gubernamentales y militares ucranianas”.
El Equipo de Respuesta a la Respuesta a Emergencias de Emergencias de la Computación de Ucrania (CERT-UA) documentó por primera vez a principios de abril de 2025 en relación con una campaña dirigida a entidades militares, agencias de aplicación de la ley y organismos locales de autogobierno.
La actividad, atribuida a un congregación de piratería que rastrea como UAC-0226, implica el uso de correos electrónicos de phishing que contienen documentos de Microsoft Excel que actúan como un conducto para implementar DotededCrook.
Un robador de información en su núcleo, el malware está diseñado para robar cookies, historial de navegación y datos de autenticación de navegadores web populares como Google Chrome, Microsoft Edge y Mozilla Firefox.
El disección de Arctic Wolf de los artefactos ha revelado que el robador comenzó como una demostración en febrero de 2025, antaño de ingresar nuevas características con las versiones 1.2 y 1.3.
Estas nuevas iteraciones incluyen la capacidad de cosechar documentos y archivos por debajo de 7 MB de tamaño, buscando específicamente archivos creados o modificados en los últimos 45 días. El malware examen específicamente las siguientes extensiones: .doc, .docx, .rtf, .pptx, .ppt, .csv, .xls, .xlsx, .jpeg, .jpg, .png, .pdf, .odt, .ods, .rar, .zip, .eml, .txt, .sqlite, y .ovpn.
Las campañas de correo electrónico aprovechan los señuelos de PDF con temática marcial para atraer a los usuarios a hacer clic en un enlace de almacenamiento de mega en la cirro que aloja un texto de trabajo de Excel gestor para macro (“сисок оовщених вйййко razón para ser descargado cuando el destinatario encienda las macros. Muchos usuarios no se dan cuenta de cuán comunes son los archivos de Excel habilitados con macro en ataques de phishing. Pasan las defensas más allá porque las personas a menudo esperan hojas de cálculo en los correos electrónicos de trabajo, especialmente los que parecen oficiales o relacionados con el gobierno.
La información capturada se incluye en un archivo zip y se exfila a un canal de telegrama controlado por el atacante. Si el tamaño total del archivo supera los 20 MB, se descompone en varias partes. Al destinar archivos con cremallera robada en pequeños trozos, GoneDcrook evita la detección y salta en torno a de los filtros de red tradicionales. En la etapa final, se ejecuta un script por lotes para borrar trazas del robador del host comprometido.
No se tráfico solo de robar contraseñas o rastrear el comportamiento en ringlera, es un espionaje cibernético objetivo. La nueva capacidad del malware para examinar archivos recientes y tomar documentos como PDF, hojas de cálculo e incluso configuraciones de VPN apunta a un objetivo más vasto: la resumen de inteligencia. Para cualquier persona que trabaje en roles del sector conocido o maneje informes internos confidenciales, este tipo de robador de documentos presenta un aventura efectivo, no solo para el individuo, sino para toda la red a la que están conectados.
“El momento de las campañas discutidas en este noticia demuestra una clara fila con los eventos geopolíticos, particularmente las recientes negociaciones entre Ucrania y Rusia en Estambul”, dijo Arctic Wolf.
“La progresión del robo de credenciales simples en la interpretación 1 de Diftedcrook, para la exfiltración integral de documentos y datos en las versiones 1.2 y 1.3, refleja los esfuerzos de progreso coordinados donde las capacidades de malware siguieron los objetivos geopolíticos para mejorar la resumen de datos de los sistemas comprometidos en Ucrania”.
