Stampa

GIFTEDCROOK Evoluto: Il Malware che Ruba Documenti Segreti e Minaccia la Sicurezza dell’Ucraina

Negli ultimi mesi il malware GIFTEDCROOK ha subito un’evoluzione significativa, trasformandosi da un semplice stealer di dati di browser a una vera piattaforma di raccolta di intelligence. Questa trasformazione è stata osservata in campagne di attacco recenti, datate giugno 2025, che hanno mostrato come GIFTEDCROOK sia ora in grado di esfiltrare un ampio spettro di documenti sensibili dai dispositivi delle vittime, tra cui file proprietari e segreti memorizzati nei browser.

Il gruppo UAC-0226 e le campagne di phishing

Il gruppo di cybercriminali dietro GIFTEDCROOK, identificato come UAC-0226, utilizza campagne di phishing mirate contro enti governativi e militari ucraini. I messaggi di phishing contengono documenti Excel con macro, spesso mascherati da comunicazioni ufficiali a tema militare. Quando la vittima abilita le macro, il malware viene scaricato e installato sul dispositivo, dando il via al furto di dati.

Evoluzione delle funzionalità del malware

All’inizio, GIFTEDCROOK si limitava a rubare cookie, cronologia di navigazione e dati di autenticazione dai browser più diffusi come Chrome, Edge e Firefox. Tuttavia, le versioni successive, in particolare la 1.2 e la 1.3, hanno introdotto nuove funzionalità che permettono al malware di cercare ed esfiltrare file creati o modificati negli ultimi 45 giorni. Le estensioni prese di mira includono:

  • Documenti Office: .doc, .docx, .xls, .xlsx, .ppt, .pptx
  • Immagini: .jpeg, .jpg, .png
  • File compressi: .zip, .rar
  • PDF, file di testo, database SQLite
  • Configurazioni VPN: .ovpn
Modalità di esfiltrazione e cancellazione

I dati sottratti vengono compressi in archivi ZIP e inviati in modo furtivo tramite canali Telegram controllati dagli attaccanti. Se l’archivio supera i 20 MB, viene suddiviso in più parti per aggirare i controlli di rete e ridurre la probabilità di rilevamento. Al termine dell’operazione, uno script batch cancella ogni traccia del malware dal sistema infetto, rendendo più difficile l’analisi forense.

Obiettivi e implicazioni strategiche

L’obiettivo di GIFTEDCROOK va ben oltre il furto di credenziali: il malware è ormai orientato alla raccolta di intelligence strategica, come riporti interni e documenti riservati, soprattutto in un contesto geopolitico delicato come quello ucraino. Il tempismo delle campagne coincide spesso con sviluppi politici rilevanti, suggerendo una stretta correlazione tra la crescita delle capacità del malware e la necessità di ottenere informazioni sensibili in periodi chiave.

Per chi opera nel settore pubblico o gestisce dati riservati, la minaccia rappresentata da GIFTEDCROOK non è solo individuale, ma può compromettere intere reti organizzative. Il ricorso a macro Excel nei phishing dimostra ancora una volta la necessità di una formazione continua contro le minacce più moderne e sofisticate.

, ,