GIFTEDCROOK-Malware
Die als GIFTEDCROOK bekannte Schadsoftware hat eine tiefgreifende Entwicklung durchlaufen. Ursprünglich als einfacher Browser-Datendieb konzipiert, hat sie sich mittlerweile zu einem hochentwickelten Spionagetool mit strategischem Fokus entwickelt. Jüngste Kampagnen im Juni 2025 zeigen eine alarmierende Entwicklung: Die Schadsoftware zielt nun auf sensible Dokumente und proprietäre Dateien von kompromittierten Geräten ab, insbesondere von Geräten der ukrainischen Regierung und des Militärs.
Inhaltsverzeichnis
Ein gezielter Angriff auf ukrainische Institutionen
GIFTEDCROOK wurde erstmals im April 2025 entdeckt. Forscher brachten die Malware mit Phishing-Kampagnen in Verbindung, die sich gegen Militäreinrichtungen, Strafverfolgungsbehörden und lokale Behörden in der Ukraine richteten. Diese Kampagnen werden der Bedrohungsakteursgruppe UAC-0226 zugeschrieben, die mit Makros versehene Microsoft Excel-Dokumente nutzt, um die Schadsoftware über Phishing-E-Mails zu verbreiten.
Die Phishing-Nachrichten imitieren oft offizielle Mitteilungen und verwenden PDF-Köder mit militärischem Hintergrund, um die Empfänger dazu zu verleiten, auf einen Mega-Cloud-Speicher-Link zu klicken. Dieser Link enthält eine Excel-Datei mit Makros mit dem Titel „Список оповіщених військовозобов'язаних організації 609528.xlsm“. Sobald Makros aktiviert sind, wird GIFTEDCROOK unbemerkt auf das Zielsystem heruntergeladen.
Was GIFTEDCROOK stiehlt: Erweiterung seiner Reichweite
Im Kern ist GIFTEDCROOK ein Informationsdieb. Die Malware konzentriert sich zunächst auf das Extrahieren von Browserdaten und ist darauf ausgelegt, Cookies, den Browserverlauf und Authentifizierungsdaten von gängigen Browsern wie Google Chrome, Microsoft Edge und Mozilla Firefox zu sammeln.
Im Laufe der Zeit wurden die Fähigkeiten von GIFTEDCROOK jedoch deutlich erweitert. Die neueren Versionen 1.2 und 1.3 starteten im Februar 2025 als Demoversion und führten leistungsstarke Datenexfiltrationsfunktionen ein, insbesondere die Möglichkeit, Dateien unter 7 MB Größe, die innerhalb der letzten 45 Tage geändert wurden, gezielt anzugreifen.
Neue Ziele: Vertrauliche Dateien und interne Dokumente
Die erweiterte Malware sucht gezielt nach Dateien mit den folgenden Erweiterungen:
Dokumente und Präsentationen: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Tabellenkalkulationen und Datendateien: .csv, .xls, .xlsx, .ods
Archive und Texte: .rar, .zip, .eml, .txt
Bilder und Konfigurationen: .jpeg, .jpg, .png, .sqlite, .ovpn
Diese Schwerpunktverlagerung von Browser-Anmeldeinformationen hin zu aktuellen und relevanten Dokumenten unterstreicht die Rolle von GIFTEDCROOK bei der gezielten Informationsbeschaffung.
Exfiltrationsmethoden: Unter dem Radar bleiben
Sobald die Malware die gewünschten Dateien gesammelt hat, komprimiert sie die gestohlenen Daten in einem ZIP-Archiv. Überschreitet das Archiv 20 MB, wird es in kleinere Teile aufgeteilt. Diese Fragmente werden über einen von den Angreifern kontrollierten Telegram-Kanal exfiltriert. Diese Methode hilft, der Erkennung zu entgehen und herkömmliche Netzwerksicherheitstools zu umgehen.
Um die Spuren zu verwischen, wird im letzten Schritt ein Batch-Skript ausgeführt, das Hinweise auf die Malware vom infizierten Host entfernt.
Strategische Spionage, nicht nur Diebstahl
GIFTEDCROOK ist nicht nur ein Diebstahl von Anmeldeinformationen, sondern auch ein Werkzeug für Cyberspionage. Seine Fähigkeit, aktuelle und vertrauliche Dokumente wie Tabellenkalkulationen, PDFs und VPN-Konfigurationen abzugreifen, deutet auf die gezielte Absicht hin, Informationen von Mitarbeitern des öffentlichen Sektors und aus internen Systemen abzugreifen. Die Risiken sind erheblich: Jeder einzelne Angriff kann ganze institutionelle Netzwerke gefährden.
Geopolitisches Timing und koordinierte Entwicklung
Der Einsatz der Schadsoftware fällt mit geopolitischen Krisenherden zusammen, insbesondere mit den Istanbuler Verhandlungen zwischen der Ukraine und Russland. Dieser Zusammenhang legt nahe, dass die Verbesserungen von GIFTEDCROOK kein Zufall waren, sondern Teil einer koordinierten Entwicklungsstrategie, die darauf abzielte, die Überwachungsmöglichkeiten entsprechend den politischen Ereignissen zu erweitern.
Fazit: Eine wachsende Bedrohung, die globale Spannungen widerspiegelt
Die Entwicklung von GIFTEDCROOK vom einfachen Browser-Datendiebstahl zu einer umfassenden Spionageplattform spiegelt die zunehmende Komplexität der Cyberbedrohungen für staatliche Institutionen wider. Die ständige Weiterentwicklung der Malware, gepaart mit ausgeklügelten Phishing-Taktiken und intelligenter Datenerfassung, verdeutlicht die klare Absicht des Angreifers, digitale Angriffe für strategische Zwecke zu nutzen. Jeder, der mit sensiblen Informationen umgeht, muss wachsam bleiben. Es geht nicht mehr nur um gestohlene Passwörter, sondern um Informationskrieg in digitaler Form.
