Los actores de amenaza detrás del malware de Giftedcrook han realizado actualizaciones importantes para transformar programas maliciosos de los steelers de datos básicos de navegador en potentes herramientas de recopilación de inteligencia.
«La reciente campaña en junio de 2025 muestra que fortalece su talentosa capacidad para eliminar una amplia gama de documentos sensibles de dispositivos personales específicos, incluidos archivos potencialmente únicos y secretos de navegador», dijo Arctic Wolf Labs en un informe publicado esta semana.
«Este cambio en la funcionalidad se combina con el contenido de sus damas de pesca (…), lo que sugiere un enfoque estratégico en boletines de inteligencia del gobierno ucraniano y grupos militares».
Giremedcrook fue documentado por primera vez a principios de abril de 2025 por el Equipo de Respuesta a Emergencias de la Computación Ucrania (CERT-UA) en relación con una campaña dirigida a entidades militares, aplicación de la ley y organizaciones autónomas locales.
Las actividades causadas por el seguimiento de grupos de piratería como UAC-0226 incluyen el uso de correos electrónicos de phishing que contienen documentos de Microsoft Excel para carreras macro que actúan como conductos para implementar GifteedCrook.
El malware de robo de información central está diseñado para robar cookies, historial de navegación y datos de autenticación de navegadores web populares como Google Chrome, Microsoft Edge y Mozilla Firefox.
Un análisis de los artefactos del lobo ártico reveló que Steeler comenzó como una demostración en febrero de 2025 y luego adquirió nuevas características en las versiones 1.2 y 1.3.
Estas nuevas iteraciones incluyen la capacidad de cosechar documentos y archivos que tienen menos de 7 MB de tamaño, particularmente en busca de archivos que se hayan creado o modificado en los últimos 45 días. El malware busca especialmente las siguientes extensiones: .doc, .docx, .rtf, .pptx, .ppt, .csv, .xls, .xlsx, .jpeg, .jpg, .png, .pdf, .odt, .Rar, .zip, .eml, .txt, .txt, .txt, .txt.
Las campañas de correo electrónico aprovechan los señuelos de PDF de temática militar para tentar a los usuarios a hacer clic en el enlace de almacenamiento de mega en la nube que aloja un libro de trabajo de Excel habilitado para macro («Academia») («DubswedCrook descargado cuando los destinatarios excitan las Macros. Muchos usuarios no son conscientes de cómo los archivos de Excel-Related de cómo los usuarios son comunes. defensas.
La información capturada se incluye en un archivo zip y se extiende a un canal de telegrama controlado por el atacante. Si el tamaño total del archivo supera los 20 MB, se clasifica en múltiples partes. Al enviar archivos con cremallera robada en pequeños trozos, GilevedCrook evita la detección y omitiendo los filtros de red tradicionales. En la etapa final, se ejecuta un script por lotes para borrar las trazas Steeler del host comprometido.
Esto no solo roba contraseñas y rastrea el comportamiento en línea, sino que también proporciona cyberspy dirigido. Nuevas características de malware que analizan a través de archivos recientes como PDF, hojas de cálculo e incluso configuraciones de VPN y documentos de captura se refieren al objetivo más grande: recopilar inteligencia. Para aquellos que trabajan en roles del sector público o manejan informes internos delicados, este tipo de documento Steeler plantea riesgos reales no solo para las personas sino también para toda la red conectada.
«El momento de la campaña discutida en este informe muestra una clara alineación con los eventos geopolíticos, particularmente negociaciones recientes entre Estambul y Rusia», dijo Arctic Wolf.
«La progresión de un robo de calificación simple de GiftedCrook versión 1 a una documentación integral y eliminación de datos para las versiones 1.2 y 1.3 refleja los esfuerzos de desarrollo coordinados en los que las características de malware mejoran la recopilación de datos de los sistemas de violación de Ucrania de acuerdo con fines geopolíticos».
Source link
