Προσοχή! Το GIFTEDCROOK malware αναβαθμίστηκε!
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Προσοχή! Το GIFTEDCROOK malware αναβαθμίστηκε!
https://www.secnews.gr/652446/prosoxi-giftedcrook-malware-anabathmistike/
Jun 30th 2025, 12:00
by Digital Fortress
Ο επιτιθέμενος πίσω από το malware GIFTEDCROOK έχει αναβαθμίσει σημαντικά το εργαλείο, μετατρέποντάς το από έναν απλό κλέφτη δεδομένων προγράμματος περιήγησης σε μια ολοκληρωμένη πλατφόρμα συλλογής ευαίσθητων πληροφοριών.
Σε πρόσφατη έκθεση της Arctic Wolf Labs, αναφέρεται πως νέες επιθέσεις δείχνουν τη βελτιωμένη ικανότητα του GIFTEDCROOK να αποσπά ένα ευρύ φάσμα ιδιωτικών εγγράφων από στοχευμένες συσκευές.
Πιστεύεται ότι η αλλαγή αυτή, σε συνδυασμό με το περιεχόμενο των δολωμάτων phishing, υποδηλώνει ότι η επίθεση επικεντρώνεται στη συλλογή πληροφοριών από ουκρανικές κυβερνητικές και στρατιωτικές υπηρεσίες.
Το κακόβουλο λογισμικό καταγράφηκε για πρώτη φορά τον Απρίλιο του 2025 από το Computer Emergency Response Team της Ουκρανίας (CERT-UA), στο πλαίσιο εκστρατειών που στόχευαν στρατιωτικούς φορείς, υπηρεσίες επιβολής του νόμου και τοπικές αρχές.
Δείτε επίσης: Προσοχή! Δημοφιλή βίντεο στο TikTok προωθούν εφαρμογές με malware
Η δράση αποδίδεται στην hacking ομάδα UAC-0226 και βασίζεται σε επιθέσεις phishing μέσω email, με συνημμένα αρχεία Excel που περιέχουν κακόβουλες μακροεντολές, οι οποίες λειτουργούν ως πύλη για την ανάπτυξη του GIFTEDCROOK malware.
Ως κλέφτης πληροφοριών, το GIFTEDCROOK στοχεύει στην υποκλοπή cookies, ιστορικού περιήγησης και δεδομένων ελέγχου ταυτότητας από δημοφιλή προγράμματα περιήγησης όπως Google Chrome, Microsoft Edge και Mozilla Firefox.
Η ανάλυση της Arctic Wolf αποκάλυψε ότι το κακόβουλο λογισμικό ξεκίνησε ως πρωτότυπο τον Φεβρουάριο του 2025 και ενισχύθηκε με τις εκδόσεις 1.2 και 1.3, που προσέθεσαν τη δυνατότητα συλλογής εγγράφων και αρχείων έως 7MB, εστιάζοντας σε αρχεία που δημιουργήθηκαν ή τροποποιήθηκαν τις τελευταίες 45 ημέρες.
Οι τύποι αρχείων που αναζητούνται περιλαμβάνουν μορφές εγγράφων (.doc, .docx, .pdf), παρουσιάσεων (.pptx, .ppt), λογιστικών φύλλων (.xls, .xlsx, .csv), εικόνων (.jpeg, .jpg, .png), συμπιεσμένων αρχείων (.rar, .zip), email (.eml), και βάσεων δεδομένων (.sqlite), μεταξύ άλλων.
Οι επιθέσεις μέσω email αξιοποιούν στρατιωτικά θέματα και περιλαμβάνουν PDF αρχεία για να παρασύρουν τους χρήστες να κάνουν κλικ σε Mega cloud storage link, που φιλοξενεί ένα κακόβουλο Excel αρχείο με ενεργοποιημένες μακροεντολές («Список оповіщених військовозобов'язаних организациї 609528.xlsm»). Όταν οι παραλήπτες ενεργοποιούν τις μακροεντολές, κατεβαίνει το κακόβουλο λογισμικό GIFTEDCROOK. Πολλοί χρήστες δεν αντιλαμβάνονται πόσο συχνά τα αρχεία Excel με μακροεντολές χρησιμοποιούνται σε επιθέσεις phishing, καθώς τέτοια υπολογιστικά φύλλα θεωρούνται συνήθη σε επαγγελματικά ή κυβερνητικά email, και έτσι παρακάμπτουν εύκολα τις άμυνες ασφαλείας.
Δείτε επίσης: Η WinRAR επιδιορθώνει σφάλμα που επιτρέπει την εκκίνηση malware
Οι πληροφορίες που συλλέγονται από το GIFTEDCROOK malware συγκεντρώνονται σε αρχεία ZIP και αποστέλλονται σε κομμάτια μέσω καναλιού Telegram που ελέγχει ο εισβολέας. Αν το μέγεθος ξεπεράσει τα 20 MB, τα δεδομένα διαχωρίζονται σε πολλαπλά μέρη, ώστε να αποφεύγεται η ανίχνευση από παραδοσιακά φίλτρα δικτύου. Στο τελευταίο στάδιο, εκτελείται ένα batch script που διαγράφει τα ίχνη του κακόβουλου λογισμικού από τον μολυσμένο υπολογιστή.
Η απειλή δεν περιορίζεται στην κλοπή κωδικών ή την παρακολούθηση της διαδικτυακής συμπεριφοράς· πρόκειται για στοχευμένη κυβερνοκατασκοπεία. Η πρόσφατη δυνατότητα του GIFTEDCROOK να συλλέγει αρχεία PDF, υπολογιστικά φύλλα και ρυθμίσεις VPN δείχνει ότι η κύρια επιδίωξη είναι η μαζική συλλογή ευαίσθητων πληροφοριών. Για όσους εργάζονται στον δημόσιο τομέα ή διαχειρίζονται εμπιστευτικά έγγραφα, αυτή η μορφή κλοπής αποτελεί σοβαρή απειλή όχι μόνο για το άτομο αλλά και για ολόκληρα δίκτυα.
Όπως αναφέρει η Arctic Wolf, η χρονική στιγμή των επιθέσεων συμπίπτει με σημαντικά γεωπολιτικά γεγονότα, όπως οι πρόσφατες διαπραγματεύσεις μεταξύ Ουκρανίας και Ρωσίας στην Κωνσταντινούπολη. Η εξέλιξη του GIFTEDCROOK malware από απλή κλοπή διαπιστευτηρίων σε πιο σύνθετη εξαγωγή εγγράφων, αντικατοπτρίζει συντονισμένες προσπάθειες να προσαρμοστεί το κακόβουλο λογισμικό σε γεωπολιτικούς στόχους, με σκοπό την ενίσχυση της συλλογής πληροφοριών από παραβιασμένα ουκρανικά συστήματα.
Προστασία από info–stealer malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Δείτε επίσης: Χάκερ κάνουν κατάχρηση του ConnectWise για να κρύψουν malware
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer.
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Προσοχή! Το GIFTEDCROOK malware αναβαθμίστηκε!
https://www.secnews.gr/652446/prosoxi-giftedcrook-malware-anabathmistike/
Jun 30th 2025, 12:00
by Digital Fortress
Ο επιτιθέμενος πίσω από το malware GIFTEDCROOK έχει αναβαθμίσει σημαντικά το εργαλείο, μετατρέποντάς το από έναν απλό κλέφτη δεδομένων προγράμματος περιήγησης σε μια ολοκληρωμένη πλατφόρμα συλλογής ευαίσθητων πληροφοριών.
Σε πρόσφατη έκθεση της Arctic Wolf Labs, αναφέρεται πως νέες επιθέσεις δείχνουν τη βελτιωμένη ικανότητα του GIFTEDCROOK να αποσπά ένα ευρύ φάσμα ιδιωτικών εγγράφων από στοχευμένες συσκευές.
Πιστεύεται ότι η αλλαγή αυτή, σε συνδυασμό με το περιεχόμενο των δολωμάτων phishing, υποδηλώνει ότι η επίθεση επικεντρώνεται στη συλλογή πληροφοριών από ουκρανικές κυβερνητικές και στρατιωτικές υπηρεσίες.
Το κακόβουλο λογισμικό καταγράφηκε για πρώτη φορά τον Απρίλιο του 2025 από το Computer Emergency Response Team της Ουκρανίας (CERT-UA), στο πλαίσιο εκστρατειών που στόχευαν στρατιωτικούς φορείς, υπηρεσίες επιβολής του νόμου και τοπικές αρχές.
Δείτε επίσης: Προσοχή! Δημοφιλή βίντεο στο TikTok προωθούν εφαρμογές με malware
Η δράση αποδίδεται στην hacking ομάδα UAC-0226 και βασίζεται σε επιθέσεις phishing μέσω email, με συνημμένα αρχεία Excel που περιέχουν κακόβουλες μακροεντολές, οι οποίες λειτουργούν ως πύλη για την ανάπτυξη του GIFTEDCROOK malware.
Ως κλέφτης πληροφοριών, το GIFTEDCROOK στοχεύει στην υποκλοπή cookies, ιστορικού περιήγησης και δεδομένων ελέγχου ταυτότητας από δημοφιλή προγράμματα περιήγησης όπως Google Chrome, Microsoft Edge και Mozilla Firefox.
Η ανάλυση της Arctic Wolf αποκάλυψε ότι το κακόβουλο λογισμικό ξεκίνησε ως πρωτότυπο τον Φεβρουάριο του 2025 και ενισχύθηκε με τις εκδόσεις 1.2 και 1.3, που προσέθεσαν τη δυνατότητα συλλογής εγγράφων και αρχείων έως 7MB, εστιάζοντας σε αρχεία που δημιουργήθηκαν ή τροποποιήθηκαν τις τελευταίες 45 ημέρες.
Οι τύποι αρχείων που αναζητούνται περιλαμβάνουν μορφές εγγράφων (.doc, .docx, .pdf), παρουσιάσεων (.pptx, .ppt), λογιστικών φύλλων (.xls, .xlsx, .csv), εικόνων (.jpeg, .jpg, .png), συμπιεσμένων αρχείων (.rar, .zip), email (.eml), και βάσεων δεδομένων (.sqlite), μεταξύ άλλων.
Οι επιθέσεις μέσω email αξιοποιούν στρατιωτικά θέματα και περιλαμβάνουν PDF αρχεία για να παρασύρουν τους χρήστες να κάνουν κλικ σε Mega cloud storage link, που φιλοξενεί ένα κακόβουλο Excel αρχείο με ενεργοποιημένες μακροεντολές («Список оповіщених військовозобов'язаних организациї 609528.xlsm»). Όταν οι παραλήπτες ενεργοποιούν τις μακροεντολές, κατεβαίνει το κακόβουλο λογισμικό GIFTEDCROOK. Πολλοί χρήστες δεν αντιλαμβάνονται πόσο συχνά τα αρχεία Excel με μακροεντολές χρησιμοποιούνται σε επιθέσεις phishing, καθώς τέτοια υπολογιστικά φύλλα θεωρούνται συνήθη σε επαγγελματικά ή κυβερνητικά email, και έτσι παρακάμπτουν εύκολα τις άμυνες ασφαλείας.
Δείτε επίσης: Η WinRAR επιδιορθώνει σφάλμα που επιτρέπει την εκκίνηση malware
Οι πληροφορίες που συλλέγονται από το GIFTEDCROOK malware συγκεντρώνονται σε αρχεία ZIP και αποστέλλονται σε κομμάτια μέσω καναλιού Telegram που ελέγχει ο εισβολέας. Αν το μέγεθος ξεπεράσει τα 20 MB, τα δεδομένα διαχωρίζονται σε πολλαπλά μέρη, ώστε να αποφεύγεται η ανίχνευση από παραδοσιακά φίλτρα δικτύου. Στο τελευταίο στάδιο, εκτελείται ένα batch script που διαγράφει τα ίχνη του κακόβουλου λογισμικού από τον μολυσμένο υπολογιστή.
Η απειλή δεν περιορίζεται στην κλοπή κωδικών ή την παρακολούθηση της διαδικτυακής συμπεριφοράς· πρόκειται για στοχευμένη κυβερνοκατασκοπεία. Η πρόσφατη δυνατότητα του GIFTEDCROOK να συλλέγει αρχεία PDF, υπολογιστικά φύλλα και ρυθμίσεις VPN δείχνει ότι η κύρια επιδίωξη είναι η μαζική συλλογή ευαίσθητων πληροφοριών. Για όσους εργάζονται στον δημόσιο τομέα ή διαχειρίζονται εμπιστευτικά έγγραφα, αυτή η μορφή κλοπής αποτελεί σοβαρή απειλή όχι μόνο για το άτομο αλλά και για ολόκληρα δίκτυα.
Όπως αναφέρει η Arctic Wolf, η χρονική στιγμή των επιθέσεων συμπίπτει με σημαντικά γεωπολιτικά γεγονότα, όπως οι πρόσφατες διαπραγματεύσεις μεταξύ Ουκρανίας και Ρωσίας στην Κωνσταντινούπολη. Η εξέλιξη του GIFTEDCROOK malware από απλή κλοπή διαπιστευτηρίων σε πιο σύνθετη εξαγωγή εγγράφων, αντικατοπτρίζει συντονισμένες προσπάθειες να προσαρμοστεί το κακόβουλο λογισμικό σε γεωπολιτικούς στόχους, με σκοπό την ενίσχυση της συλλογής πληροφοριών από παραβιασμένα ουκρανικά συστήματα.
Προστασία από info–stealer malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Δείτε επίσης: Χάκερ κάνουν κατάχρηση του ConnectWise για να κρύψουν malware
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer.
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz