Üstün yetenekli kötü amaçlı yazılımların arkasındaki tehdit oyuncusu, kötü amaçlı programı temel bir tarayıcı veri çalıcıdan güçlü bir istihbarat toplama aracına dönüştürmek için önemli güncellemeler yaptı.
Arctic Wolf Labs, bu hafta yayınlanan bir raporda, “Haziran 2025’teki son kampanyalar, gaflı crook’un potansiyel olarak tescilli dosyalar ve tarayıcı sırları da dahil olmak üzere hedeflenen bireylerin cihazlarından çok çeşitli hassas belgeleri yayma yeteneğini geliştirdiğini gösteriyor.” Dedi.
“İşlevsellikteki bu değişim, kimlik avı yemlerinin içeriği ile birleştiğinde, […] Ukrayna hükümet ve askeri kuruluşlardan istihbarat toplama üzerine stratejik bir odaklanma önermektedir. “
Giftedcrook, ilk olarak Nisan 2025’in başlarında Ukrayna’nın Bilgisayar Acil Müdahale Ekibi (CERT-UA) tarafından askeri kuruluşları, kolluk kuvvetlerini ve yerel öz-yönetim organlarını hedefleyen bir kampanya ile bağlantılı olarak belgelendi.
UAC-0226 olarak izlediği bir hackleme grubuna atfedilen etkinlik, gaflı crook’u dağıtmak için bir kanal görevi gören makro bağcıklı Microsoft Excel belgelerini içeren kimlik avı e-postalarının kullanımını içerir.
Özünde bir bilgi çalma, kötü amaçlı yazılım, Google Chrome, Microsoft Edge ve Mozilla Firefox gibi popüler web tarayıcılarından çerezleri, tarama geçmişini ve kimlik doğrulama verilerini çalmak için tasarlanmıştır.
Arctic Wolf’un eserler hakkındaki analizi, çalkalanmanın Şubat 2025’te 1.2 ve 1.3 sürümleriyle yeni özellikler kazanmadan önce bir demo olarak başladığını ortaya koydu.
Bu yeni yinelemeler, özellikle son 45 gün içinde oluşturulan veya değiştirilen dosyaları arayan 7 MB boyutunun altındaki belgeleri ve dosyaları hasat etme yeteneğini içerir. Kötü amaçlı yazılımlar özellikle aşağıdaki uzantıları arar: .doc, .docx, .rtf, .pptx, .ppt, .csv, .xls, .xlsx, .jpeg, .odt, .ods, .rar, .zip
E-posta kampanyaları, kullanıcıları makro özellikli bir Excel çalışma kitabına (“сйййзозенихх’ззззаevi barındıran bir mega bulut depolama bağlantısına tıklamaya ikna etmek için askeri temalı PDF lurs’tan yararlanır. Alıcı makroları açtığında indirilebilir. Birçok kullanıcı, makro özellikli Excel dosyalarının kimlik avı saldırılarında ne kadar yaygın olduğunu fark etmez. Geçmiş savunmaları kaydırıyorlar çünkü insanlar genellikle iş e-postalarında elektronik tablolar bekliyorlar-özellikle resmi veya hükümetle ilgili görünenler.
Yakalanan bilgiler bir zip arşivinde paketlenir ve saldırgan kontrollü bir telgraf kanalına eksfiltre edilir. Toplam arşiv boyutu 20 MB’yi aşarsa, birden fazla parçaya ayrılır. Küçük parçalarda çalınan zip arşivleri göndererek, gaflı crook algılamayı önler ve geleneksel ağ filtrelerinin etrafında atlar. Son aşamada, çalkalanan ana bilgisayardan çalmanın izlerini silmek için bir toplu beter yürütülür.
Bu sadece şifreleri çalmak veya çevrimiçi davranışları izlemekle ilgili değil – hedefli siber casusluk. Kötü amaçlı yazılımların son dosyaları gözden geçirme ve PDF’ler, elektronik tablolar ve hatta VPN gibi belgeleri yakalama yeteneği, daha büyük bir hedefe işaret eder: zeka toplama. Kamu sektörü rollerinde çalışan veya hassas dahili raporları ele alan herkes için, bu tür bir belge çalma gerçek bir risk oluşturmaktadır – sadece bireye değil, bağlı oldukları tüm ağ için.
Arctic Wolf, “Bu raporda tartışılan kampanyaların zamanlaması, jeopolitik olaylarla, özellikle İstanbul’daki Ukrayna ve Rusya arasındaki son müzakerelerle açık bir uyum gösteriyor.” Dedi.
Diyerek şöyle devam etti: “Versiyon 1.2 ve 1.3 sürümlerindeki kapsamlı belge ve veri açığa çıkma işlemine kadar basit kimlik hırsızlığından ilerleme, kötü amaçlı yazılım yeteneklerinin Ukrayna’daki tehlikeye atılmış sistemlerden veri toplamayı geliştirmek için jeopolitik hedefleri takip ettiği koordineli geliştirme çabalarını yansıtıyor.”