Logiciel malveillant GIFTEDCROOK
Le malware GIFTEDCROOK a connu une transformation significative. Initialement conçu comme un simple outil de vol de données de navigateur, il est aujourd'hui devenu un outil d'espionnage sophistiqué à visée stratégique. De récentes campagnes observées en juin 2025 révèlent une amélioration alarmante : le malware cible désormais les documents sensibles et les fichiers propriétaires des appareils compromis, notamment ceux appartenant au gouvernement et au personnel militaire ukrainiens.
Table des matières
Une attaque ciblée contre les institutions ukrainiennes
GIFTEDCROOK a été découvert pour la première fois en avril 2025, lorsque des chercheurs l'ont lié à des campagnes de phishing ciblant des entités militaires, des forces de l'ordre et des collectivités locales en Ukraine. Ces campagnes sont attribuées au groupe d'acteurs malveillants UAC-0226, qui exploite des documents Microsoft Excel contenant des macros pour diffuser la charge utile du malware via des e-mails de phishing.
Les messages d'hameçonnage imitent souvent les communications officielles, utilisant des PDF à thème militaire pour inciter les destinataires à cliquer sur un lien vers un espace de stockage cloud Mega. Ce lien héberge un fichier Excel contenant des macros, intitulé « Список оповіщених військовозобов'язаних організації 609528.xlsm ». Une fois les macros activées, GIFTEDCROOK est téléchargé silencieusement sur le système cible.
Ce que GIFTEDCROOK vole : étendre sa portée
Fondamentalement, GIFTEDCROOK est un voleur d'informations. Initialement axé sur l'extraction de données de navigation, ce logiciel malveillant est conçu pour collecter les cookies, l'historique de navigation et les identifiants d'authentification des principaux navigateurs tels que Google Chrome, Microsoft Edge et Mozilla Firefox.
Au fil du temps, les capacités de GIFTEDCROOK se sont considérablement développées. Lancée en version de démonstration en février 2025, les versions 1.2 et 1.3 ont introduit de puissantes fonctionnalités d'exfiltration de données, notamment la possibilité de cibler les fichiers de moins de 7 Mo et modifiés au cours des 45 derniers jours.
Nouvelles cibles : fichiers sensibles et documents internes
Le logiciel malveillant amélioré recherche spécifiquement les fichiers avec les extensions suivantes :
Documents et présentations : .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Feuilles de calcul et fichiers de données : .csv, .xls, .xlsx, .ods
Archives et textes : .rar, .zip, .eml, .txt
Images et configurations : .jpeg, .jpg, .png, .sqlite, .ovpn
Ce changement d’orientation, des informations d’identification du navigateur aux documents récents et pertinents, souligne le rôle de GIFTEDCROOK dans la collecte de renseignements ciblés.
Méthodes d’exfiltration : rester sous le radar
Une fois que le logiciel malveillant a récupéré les fichiers souhaités, il compresse les données volées dans une archive ZIP. Si l'archive dépasse 20 Mo, elle est divisée en fragments plus petits. Ces fragments sont exfiltrés via un canal Telegram contrôlé par les attaquants, une méthode permettant d'échapper à la détection et de contourner les outils de sécurité réseau traditionnels.
Pour couvrir ses traces, un script batch est exécuté à l'étape finale, supprimant ainsi toute preuve du malware de l'hôte infecté.
Espionnage stratégique, pas seulement vol
GIFTEDCROOK n'est pas seulement un voleur d'identifiants, c'est un outil de cyberespionnage. Sa capacité à collecter des documents récents et sensibles, tels que des feuilles de calcul, des PDF et des configurations VPN, témoigne d'une volonté délibérée d'extraire des renseignements sur les fonctionnaires et les systèmes internes. Les risques sont considérables : toute compromission individuelle peut mettre en péril des réseaux institutionnels entiers.
Calendrier géopolitique et développement coordonné
Le déploiement du logiciel malveillant coïncide avec des moments géopolitiques critiques, notamment les négociations d'Istanbul entre l'Ukraine et la Russie. Cette corrélation suggère que les améliorations apportées à GIFTEDCROOK ne sont pas fortuites, mais s'inscrivent dans une stratégie de développement coordonnée visant à étendre les capacités de surveillance en fonction des événements politiques.
Conclusion : une menace croissante qui reflète les tensions mondiales
L'évolution de GIFTEDCROOK, d'un simple voleur de données de navigateur à une plateforme d'espionnage complète, reflète la complexité croissante des cybermenaces auxquelles sont confrontées les institutions nationales. La progression des versions du logiciel malveillant, associée à des tactiques d'hameçonnage bien conçues et à une collecte de données intelligente, reflète la volonté manifeste de l'adversaire d'exploiter les intrusions numériques à des fins stratégiques. Toute personne amenée à manipuler des informations sensibles doit rester vigilante : il ne s'agit plus seulement de mots de passe volés, mais de guerre de l'information sous forme numérique.
