تطور برنامج الفدية GIFTEDCROOK لسرقة البيانات الحساسة

قامت المجموعة الإلكترونية بتحديث برامجها الخبيثة لسرقة البيانات من الأوكرانيين، من خلال رسائل البريد الإلكتروني العسكرية المزيفة ورسائل التيليجرام.

قامت مجموعة القرصنة UAC-0226 بتحديث برنامجها الخبيث GIFTEDCROOK ليتطور من سرقة بيانات المتصفح الأساسية إلى برنامج متقدم، قادر على استخراج الملفات الحساسة من الكمبيوتر.

وفقًا للباحثين في معامل Arctic Wolf، أطلقت الجماعة هذه الهجمات المحسّنة تمامًا كما كانت أوكرانيا وروسيا تجري محادثات في إسطنبول في يونيو 2025.

“من المحتمل جدًا أن تركز هذه العملية على جمع المعلومات من خلال استخراج البيانات من الأجهزة المخترقة”، كما أفادت معامل Arctic Wolf ، مشيرة إلى أن الحملة ازدادت قبل مفاوضات إسطنبول في 2 يونيو حول تبادل الأسرى والجثث.

استخدم القراصنة رسائل بريد إلكتروني مزيفة صُممت لتبدو وكأنها رسائل عسكرية لخداع الناس ودفعهم إلى فتح الملفات المُصابة. كثيراً ما كانت هذه الرسائل تُدعي أنها تتضمن معلومات حول التجنيد أو الغرامات الإدارية. إذا قام الضحية بالنقر على الرابط أو فتح الملف واتباع التعليمات، كان بإمكان البرمجيات الخبيثة تثبيت نفسها بسرية وبدء سرقة الملفات.

سمحت النسخ المحدثة من البرمجيات الخبيثة للمستخدمين بالبحث عن أنواع معينة من الملفات والوثائق الحديثة، بالإضافة إلى كوكيز المتصفح وكلمات المرور من كروم، وإيدج، وفايرفوكس. توضح Arctic Wolf Labs أن القراصنة قاموا بنقل جميع البيانات المسروقة عبر قنوات تيليغرام.

واحد من الوثائق المزيفة كان يتظاهر بأنه قائمة بأسماء الأشخاص المجندين في الجيش. وقد طلب من القراء تفعيل الماكرو، وهو حيلة شائعة يستخدمها القراصنة لإطلاق البرامج الخبيثة. كما وجد الباحثون أيضًا أن نظام البريد الإلكتروني الذي يستخدمه UAC-0226 يتم مشاركته مع مجموعات قرصنة أخرى تستهدف أوكرانيا، مما يوحي بوجود حملة أوسع.

يتوقع الخبراء أن البرامج الخبيثة ستستمر في التطور مع مرور الوقت. تحتاج المنظمات إلى تعليم موظفيها حول كيفية التعرف على رسائل الفيشينغ الإلكترونية واستخدام الأدوات الآمنة، والبقاء في حالة تأهب عندما تصبح الهجمات الإلكترونية أكثر تقدمًا وأكثر ارتباطًا بالأحداث العالمية الحقيقية.