El actor de amenaza detrás del malware de GifedCrook ha realizado actualizaciones significativas para convertir el software receloso de un robador principal de datos del navegador a una potente utensilio de monasterio de inteligencia.
«Las campañas recientes en junio de 2025 demuestran la capacidad mejorada de GifteedCrook para exfiltrar una amplia matiz de documentos sensibles de los dispositivos de individuos específicos, incluidos archivos potencialmente propietarios y secretos del navegador», dijo Arctic Wolf Labs en un crónica publicado esta semana.
«Este cambio en la funcionalidad, combinado con el contenido de sus señuelos de phishing, (…) sugiere un enfoque importante en la colección de inteligencia de entidades gubernamentales y militares ucranianas».
El Equipo de Respuesta a la Respuesta a Emergencias de Emergencias de la Computación de Ucrania (CERT-UA) documentó por primera vez a principios de abril de 2025 en relación con una campaña dirigida a entidades militares, agencias de aplicación de la ley y organismos locales de autogobierno.
La actividad, atribuida a un orden de piratería que rastrea como UAC-0226, implica el uso de correos electrónicos de phishing que contienen documentos de Microsoft Excel que actúan como un conducto para implementar DotededCrook.
Un robador de información en su núcleo, el malware está diseñado para robar cookies, historial de navegación y datos de autenticación de navegadores web populares como Google Chrome, Microsoft Edge y Mozilla Firefox.
El estudio de Arctic Wolf de los artefactos ha revelado que el robador comenzó como una demostración en febrero de 2025, antaño de cobrar nuevas características con las versiones 1.2 y 1.3.
Estas nuevas iteraciones incluyen la capacidad de cosechar documentos y archivos por debajo de 7 MB de tamaño, buscando específicamente archivos creados o modificados en los últimos 45 días. El malware rastreo específicamente las siguientes extensiones: .doc, .docx, .rtf, .pptx, .ppt, .csv, .xls, .xlsx, .jpeg, .jpg, .png, .pdf, .odt, .ods, .rar, .zip, .eml, .txt, .sqlite, y .ovpn.
Las campañas de correo electrónico aprovechan los señuelos de PDF con temática marcial para atraer a los usuarios a hacer clic en un enlace de almacenamiento de mega en la aglomeración que aloja un volumen de trabajo de Excel preparado para macro («сисок оовщених вйййко razón para ser descargado cuando el destinatario encienda las macros. Muchos usuarios no se dan cuenta de cuán comunes son los archivos de Excel habilitados con macro en ataques de phishing. Pasan las defensas más allá porque las personas a menudo esperan hojas de cálculo en los correos electrónicos de trabajo, especialmente los que parecen oficiales o relacionados con el gobierno.
La información capturada se incluye en un archivo zip y se exfila a un canal de telegrama controlado por el atacante. Si el tamaño total del archivo supera los 20 MB, se descompone en varias partes. Al mandar archivos con cremallera robada en pequeños trozos, GoneDcrook evita la detección y salta cerca de de los filtros de red tradicionales. En la etapa final, se ejecuta un script por lotes para borrar trazas del robador del host comprometido.
No se manejo solo de robar contraseñas o rastrear el comportamiento en secante, es un espionaje cibernético objetivo. La nueva capacidad del malware para examinar archivos recientes y tomar documentos como PDF, hojas de cálculo e incluso configuraciones de VPN apunta a un objetivo más conspicuo: la colección de inteligencia. Para cualquier persona que trabaje en roles del sector divulgado o maneje informes internos confidenciales, este tipo de robador de documentos presenta un peligro actual, no solo para el individuo, sino para toda la red a la que están conectados.
«El momento de las campañas discutidas en este crónica demuestra una clara alineamiento con los eventos geopolíticos, particularmente las recientes negociaciones entre Ucrania y Rusia en Estambul», dijo Arctic Wolf.
«La progresión del robo de credenciales simples en la interpretación 1 de Diftedcrook, para la exfiltración integral de documentos y datos en las versiones 1.2 y 1.3, refleja los esfuerzos de crecimiento coordinados donde las capacidades de malware siguieron los objetivos geopolíticos para mejorar la colección de datos de los sistemas comprometidos en Ucrania».
