El actor de amenaza detrás del malware de GifedCrook ha realizado actualizaciones significativas para convertir el programa malicioso de un robador básico de datos del navegador a una potente herramienta de recolección de inteligencia.
«Las campañas recientes en junio de 2025 demuestran la capacidad mejorada de GifteedCrook para exfiltrar una amplia gama de documentos sensibles de los dispositivos de individuos específicos, incluidos archivos potencialmente propietarios y secretos del navegador», dijo Arctic Wolf Labs en un informe publicado esta semana.
«Este cambio en la funcionalidad, combinado con el contenido de sus señuelos de phishing, (…) sugiere un enfoque estratégico en la recopilación de inteligencia de entidades gubernamentales y militares ucranianas».
El Equipo de Respuesta a la Respuesta a Emergencias de Emergencias de la Computación de Ucrania (CERT-UA) documentó por primera vez a principios de abril de 2025 en relación con una campaña dirigida a entidades militares, agencias de aplicación de la ley y organismos locales de autogobierno.
La actividad, atribuida a un grupo de piratería que rastrea como UAC-0226, implica el uso de correos electrónicos de phishing que contienen documentos de Microsoft Excel que actúan como un conducto para implementar DotededCrook.
Un robador de información en su núcleo, el malware está diseñado para robar cookies, historial de navegación y datos de autenticación de navegadores web populares como Google Chrome, Microsoft Edge y Mozilla Firefox.
El análisis de Arctic Wolf de los artefactos ha revelado que el robador comenzó como una demostración en febrero de 2025, antes de ganar nuevas características con las versiones 1.2 y 1.3.
Estas nuevas iteraciones incluyen la capacidad de cosechar documentos y archivos por debajo de 7 MB de tamaño, buscando específicamente archivos creados o modificados en los últimos 45 días. El malware busca específicamente las siguientes extensiones: .doc, .docx, .rtf, .pptx, .ppt, .csv, .xls, .xlsx, .jpeg, .jpg, .png, .pdf, .odt, .ods, .rar, .zip, .eml, .txt, .sqlite, y .ovpn.
Las campañas de correo electrónico aprovechan los señuelos de PDF con temática militar para atraer a los usuarios a hacer clic en un enlace de almacenamiento de mega en la nube que aloja un libro de trabajo de Excel habilitado para macro («сисок оовщених вйййко razón para ser descargado cuando el destinatario encienda las macros. Muchos usuarios no se dan cuenta de cuán comunes son los archivos de Excel habilitados con macro en ataques de phishing. Pasan las defensas más allá porque las personas a menudo esperan hojas de cálculo en los correos electrónicos de trabajo, especialmente los que parecen oficiales o relacionados con el gobierno.
La información capturada se incluye en un archivo zip y se exfila a un canal de telegrama controlado por el atacante. Si el tamaño total del archivo supera los 20 MB, se descompone en varias partes. Al enviar archivos con cremallera robada en pequeños trozos, GoneDcrook evita la detección y salta alrededor de los filtros de red tradicionales. En la etapa final, se ejecuta un script por lotes para borrar trazas del robador del host comprometido.
No se trata solo de robar contraseñas o rastrear el comportamiento en línea, es un espionaje cibernético objetivo. La nueva capacidad del malware para examinar archivos recientes y tomar documentos como PDF, hojas de cálculo e incluso configuraciones de VPN apunta a un objetivo más grande: la recopilación de inteligencia. Para cualquier persona que trabaje en roles del sector público o maneje informes internos confidenciales, este tipo de robador de documentos presenta un riesgo real, no solo para el individuo, sino para toda la red a la que están conectados.
«El momento de las campañas discutidas en este informe demuestra una clara alineación con los eventos geopolíticos, particularmente las recientes negociaciones entre Ucrania y Rusia en Estambul», dijo Arctic Wolf.
«La progresión del robo de credenciales simples en la versión 1 de Diftedcrook, para la exfiltración integral de documentos y datos en las versiones 1.2 y 1.3, refleja los esfuerzos de desarrollo coordinados donde las capacidades de malware siguieron los objetivos geopolíticos para mejorar la recopilación de datos de los sistemas comprometidos en Ucrania».