O malware GIFTEDCROOK, inicialmente conhecido por roubar dados de navegadores, evoluiu e agora atua como uma ferramenta sofisticada de espionagem cibernética. Segundo os pesquisadores campanhas realizadas em junho de 2025 mostram que o programa malicioso passou a coletar uma ampla variedade de documentos sensíveis de alvos estratégicos, com foco em entidades governamentais e militares da Ucrânia.
O GIFTEDCROOK foi identificado pela primeira vez em abril de 2025 pelo CERT-UA, em campanhas que utilizavam e-mails de phishing com documentos do Excel contendo macros maliciosas. Esses arquivos levavam ao download do malware ao serem abertos com macros ativadas. Embora inicialmente criado como um “stealer” de cookies e históricos de navegação em navegadores como Chrome, Edge e Firefox, o GIFTEDCROOK ganhou novas funcionalidades nas versões 1.2 e 1.3, lançadas após fevereiro. Agora, ele também coleta arquivos com até 7 MB, criados ou modificados nos últimos 45 dias, incluindo documentos nos formatos .doc, .pdf, .xlsx, .jpg, .txt, .zip, entre outros.
A campanha mais recente se apoia em arquivos PDF com temas militares e links para planilhas hospedadas no Mega. Ao ativar as macros, o malware é executado e começa a coleta de dados. As informações roubadas são compactadas em arquivos ZIP e enviadas, em partes menores que 20 MB, para um canal no Telegram controlado pelos atacantes. Em seguida, um script apaga os rastros do ataque. Esse tipo de ataque aponta para um esforço coordenado de espionagem cibernética alinhado aos interesses geopolíticos, especialmente durante as recentes negociações entre Ucrânia e Rússia. O GIFTEDCROOK representa uma ameaça séria para profissionais do setor público e qualquer rede que lide com dados confidenciais.
