Ukrainian military phishing campaign just escalated

المخاطر المتنامية لبرمجية GIFTEDCROOK: من مجرد سرقة متصفحات إلى أداة تجسّس متقدمة

قدم الخلفية

كشف تقرير نشرته مختبرات Arctic Wolf في أواخر يونيو 2025 عن تطور كبير في برمجية GIFTEDCROOK الخبيثة، التي تحوّلت من أداة بسيطة لسرقة بيانات المتصفح إلى أداة جمع استخباراتية متقدمة تستهدف الوثائق الحساسة على أجهزة المستخدمين المستهدفين.

التحوّل الجديد في القدرات

• في الحملة الحديثة خلال يونيو 2025، باتت GIFTEDCROOK قادرة على استخراج مجموعة واسعة من الوثائق الحساسة، بما في ذلك الملفات الخاصة والبيانات المصاحبة للمتصفح، وفقًا لتقرير Arctic Wolf
• التحليلات أظهرت أن النسخ 1.2 و1.3 تضمنت خاصية جمع الملفات بحجم أقل من 7 ميغابايت، مركزة على تلك المعدلة أو المنشأة خلال الـ 45 يومًا الماضية
• أنواع الملفات المستهدفة تشمل: .doc/.docx/.rtf/.pptx/.ppt/.csv/.xls/.xlsx/.jpeg/.jpg/.png/.pdf/.odt/.ods/.rar/.zip/.eml/.txt/.sqlite/.ovpn

آلية الهجوم

• يتم نشر البرمجية عبر حملات تصيّد دقيقة تستهدف كيانات أوكرانية حكومية وعسكرية، مستخدمة رسائل بريد إلكتروني تحتوي على مستندات Excel مزودة بماكرو
• تُستخدم ملفّات PDF ذات طابع عسكري كطُعم يحتوي على رابط إلى مستودع Mega، وعند تفعيل الماكرو يُحمّل GIFTEDCROOK
• تُجمّع البيانات المسروقة في أرشيف ZIP وتُرسَل إلى قناة تليجرام يتحكم بها الجهة الخبيثة
• إذا تجاوز حجم الأرشيف 20 ميغابايت، يتم تقطيعه إلى أجزاء لتجنب كشفه بواسطة المرشحات الشبكية التقليدية
• في النهاية، يتم تنفيذ سكربت دفعي لحذف آثار البرمجية من الجهاز المصاب

الهدف الأوسع والدوافع

التحوّل من مجرد سرقة بيانات المتصفح إلى استخراج وثائق مثل PDF وجداول البيانات وملفات تكوين VPN دليل واضح على هدف أوسع: جمع معلومات استخباراتية تتماشى مع التطورات الجيوسياسية، خاصة تلك المتعلقة بالمفاوضات بين أوكرانيا وروسيا في إسطنبول.

خلاصة وتوصيات

• برمجية GIFTEDCROOK تمثل تهديدًا متزايدًا للهيئات العاملة في القطاع العام أو التي تتعامل مع وثائق داخلية حساسة.
• من المهم تعزيز الوعي بحملات التصيّد عبر ملفات Excel وماكروها الخبيث.
• ينبغي تشديد الرقابة على تحميل المرفقات وتمكين فحصها ضمن بيئة معزولة قبل فتحها.