GIFTEDCROOK Malware’ın Evrimi ve Tehditleri
Son zamanlarda siber güvenlik alanında dikkat çeken GIFTEDCROOK malware, öncelikle bir veri hırsızı olarak görev yaparken, giderek daha karmaşık bir istihbarat toplama aracı haline gelmiştir. 2025 yılında, GIFTEDCROOK’un işlevsellik alanında yaptığı önemli güncellemeler, onu daha da tehlikeli bir hale getirmiştir. Özellikle, belirli hedef alınan kişilerin cihazlarından geniş bir yelpazede hassas belgeleri çalma yeteneği kazandı.
GIFTEDCROOK’un Çıtırığını Çıkartan Olaylar
Arctic Wolf Labs’ın raporuna göre, GIFTEDCROOK’un geliştirilmiş yetenekleri, bir dizi hassas belgeyi etkileyerek, özellikle devlet ve askeri kurumlarla bağlantılı içerikleri hedef alıyor. 2025’in ilk çeyreğinde, GIFTEDCROOK, Ukrayna Acil Durum Müdahale Ekibi (CERT-UA) tarafından tespit edildi. Bu malware, askeri kuruluşlar, hukuk kurumları ve yerel yönetim organlarını hedef alan eylemlerle ilişkilendirilmiştir.
Phishing Saldırıları ve Malware Dağıtımı
GIFTEDCROOK’un arkasındaki hacker grubunun, UAC-0226 olarak adlandırıldığı kaydedilmiştir. Bu grup, phishing e-postaları göndererek kullanıcıları kandırmayı amaçlamaktadır. E-postalar, GIFTEDCROOK’u dağıtmak için kullanılan makro içerikli Microsoft Excel belgeleri içermektedir. Kullanıcılar, makroları etkinleştirdiklerinde, GIFTEDCROOK cihazlarına indirilmektedir.
Malware’ın temel işlevi, popüler web tarayıcıları olan Google Chrome, Microsoft Edge ve Mozilla Firefox’tan çerezler, tarayıcı geçmişi ve kimlik doğrulama verilerini çalmaktır. Bu yetenekler, malware’ın saldırganlar için daha cazip hale gelmesini sağlamaktadır.
Yeni Versiyonların Özellikleri
Arctic Wolf, GIFTEDCROOK’un 2025’in Ocak ayında bir demo sürümü olarak başladığını bildiriyor. Bunu takiben, 1.2 ve 1.3 versiyonları ile yeni özellikler eklenmiştir. Bu yeni versiyonlar, son 45 gün içerisinde oluşturulan veya değiştirilen belgeleri hedef alarak, 7 MB’dan daha küçük dosyaları toplama yeteneği kazandırmıştır. Malware, belirli dosya uzantılarını arayarak .doc, .pdf, .xls gibi belgeleri hedef almaktadır.
Belge Hırsızlığı ve Yönetimsel Riskler
GIFTEDCROOK, bir dosya hırsızı olarak evrildiği için, özellikle duyarlı belgeleri toplamayı hedefler. Askeri temalı PDF içerikleri kullanarak kullanıcıların dikkatini çekmeyi amaçlamaktadır. Kullanıcılar, Mega bulut depolama bağlantılarına yönlendirilerek, GIFTEDCROOK’u indirmeye zorlanmaktadır. Birçok kişi, iş e-postalarında makro içeren Excel dosyalarının nasıl kullanıldığını bilmediğinden bu tür saldırılara maruz kalmaktadır.
Toplanan bilgiler, bir ZIP arşivine paketlenerek saldırgan kontrolü altındaki Telegram kanallarına gönderilmektedir. Arşiv boyutu 20 MB’a ulaştığında, bölümlere ayrılmakta ve bu sayede geleneksel ağ filtrelerinden kaçınılmaktadır. Son aşamada, bir batch script çalıştırılarak, malware’ın izleri silinmektedir.
Hedefe Yönelen Siber Casusluk
GIFTEDCROOK, sadece şifre çalma ya da çevrimiçi davranış takibiyle sınırlı kalmamaktadır. Malware’ın yeni yetenekleri, PDF’ler, hesap tabloları ve VPN yapılandırma dosyaları gibi belgeleri arama işlevselliği, daha büyük bir hedefin parçası olarak görülmektedir; yani istihbarat toplama. Kamu sektörü görevlerinde bulunan veya hassas iç raporlar yöneten kişiler için bu tür bir belge çalan araç, yalnızca birey değil, bağlı oldukları tüm ağ için ciddi bir riesgo oluşturmaktadır.
Coğrafi Olaylarla İlişkisi
Raporda belirtilen kampanyaların zamanlaması, özellikle Ukrayna ve Rusya arasındaki son müzakerelerle alakalıdır. Arctic Wolf, GIFTEDCROOK’un gelişimini, siber casusluk faaliyetlerinin coğrafi olaylarla sıkı bir bağ içinde ilerlediğine işaret etmektedir. Malware’ın ilk versiyonundan gelişen, belge ve veri exfiltrasyon üzerine odaklanan sürümlere geçiş, doktoraların gelişimiyle kastedilen bilgileri toplamak amacıyla yapılmıştır.
Bu giderek artan tehdit, siber güvenlik alanında giderek daha fazla ön plana çıkmakta ve bireylerden kurumsal ağlara kadar geniş bir önlem almaları gerekmektedir. GIFTEDCROOK ve benzeri malware’lar, hem kişisel hem de kurumsal güvenlik açısından ciddiye alınması gereken bir tehdit oluşturur.
