GIFTEDCROOK 恶意软件背后的威胁行为者进行了重大更新，将恶意程序从基本的浏览器数据窃取程序转变为强大的情报收集工具。

“2025 年 6 月最近的活动表明，GIFTEDCROOK 增强了从目标个人的设备中窃取大量敏感文件的能力，包括潜在的专有文件和浏览器机密，”Arctic Wolf Labs 在本周发布的一份报告中表示。

“这种功能上的转变，再加上其网络钓鱼诱饵的内容，表明其战略重点是从乌克兰政府和军事实体收集情报。”

GIFTEDCROOK 于 2025 年 4 月初由乌克兰计算机应急响应小组 （CERT-UA） 首次记录在案，该事件与针对军事实体、执法机构和地方自治机构的活动有关。

该活动归因于一个被跟踪为 UAC-0226 的黑客组织，涉及使用包含宏的 Microsoft Excel 文档的网络钓鱼电子邮件，这些文档充当部署 GIFTEDCROOK 的渠道。

该恶意软件的核心是信息窃取程序，旨在从 Google Chrome、Microsoft Edge 和 Mozilla Firefox 等流行的网络浏览器中窃取 cookie、浏览历史记录和身份验证数据。

Arctic Wolf 对文物的分析表明，窃取程序于 2025 年 2 月作为演示开始，然后在 1.2 和 1.3 版本中获得了新功能。

这些新的迭代包括收集小于 7 MB 的文档和文件的能力，特别是查找在过去 45 天内创建或修改的文件。该恶意软件专门搜索以下扩展名：.doc、.docx、.rtf、.pptx、.ppt、.csv、.xls、.xlsx、.jpeg、.jpg、.png、.pdf、.odt、.ods、.rar、.zip、.eml、.txt、.sqlite 和 .ovpn。

电子邮件活动利用以军事为主题的 PDF 诱饵来诱使用户点击托管启用宏的 Excel 工作簿的 Mega 云存储链接 （“Список оповіщених військовозобов’язаних організації 609528.xlsm”），导致 GIFTEDCROOK 在收件人打开宏时被下载。许多用户没有意识到启用宏的 Excel 文件在网络钓鱼攻击中是多么常见。他们绕过了防御，因为人们经常期望工作电子邮件中出现电子表格——尤其是那些看起来官方或与政府相关的电子表格。

捕获的信息被捆绑到 ZIP 档案中，并泄露到攻击者控制的 Telegram 频道。如果存档总大小超过 20 MB，则会将其分解为多个部分。通过小块发送被盗的 ZIP 档案，GIFTEDCROOK 避免了检测并跳过了传统的网络过滤器。在最后阶段，执行批处理脚本以从受感染的主机中删除窃取程序的痕迹。

这不仅仅是窃取密码或跟踪在线行为，而是有针对性的网络间谍活动。该恶意软件可以筛选最近的文件并抓取 PDF、电子表格甚至 VPN 配置等文档的新功能指向一个更大的目标：收集情报。对于任何从事公共部门工作或处理敏感内部报告的人来说，这种文档窃取程序都会带来真正的风险——不仅对个人，而且对他们所连接的整个网络。

“本报告中讨论的活动时间表明与地缘政治事件明显一致，特别是乌克兰和俄罗斯最近在伊斯坦布尔的谈判，”Arctic Wolf 说。

“从 GIFTEDCROOK 版本 1 中的简单凭证盗窃发展到 1.2 和 1.3 版本中的全面文档和数据泄露，反映了协调一致的开发工作，其中恶意软件功能遵循地缘政治目标，以增强从乌克兰受感染系统中的数据收集。”