複数ライセンス割引見積
脅威データベース マルウェア GIFTEDCROOK マルウェア

GIFTEDCROOK マルウェア

マルウェア, スティーラーズMezoまで
翻訳内容:

GIFTEDCROOKとして知られるマルウェアは、大きな変貌を遂げました。当初はブラウザデータを窃取する簡易なマルウェアとして設計されていましたが、今では戦略的な目的を持つ高度なスパイツールへと進化を遂げています。2025年6月に確認された最近のキャンペーンでは、驚くべき進化が明らかになりました。このマルウェアは、特にウクライナ政府や軍関係者が所有する、侵害されたデバイス上の機密文書や機密ファイルを標的としています。

ウクライナの機関に対する標的攻撃

GIFTEDCROOKは2025年4月に初めて発見され、研究者らはウクライナの軍事機関、法執行機関、地方自治体を標的としたフィッシングキャンペーンとの関連性を指摘しました。これらのキャンペーンは、マクロを組み込んだMicrosoft Excelドキュメントを利用し、フィッシングメールを介してマルウェアペイロードを拡散する脅威アクターグループ「UAC-0226」によるものとされています。

フィッシングメッセージは多くの場合、公式の通信を模倣し、軍事関連のPDFファイルを使って受信者をMegaクラウドストレージのリンクをクリックさせます。このリンクには、「Список оповіщених військовозобов'язаних організації 609528.xlsm」というマクロが有効化されたExcelファイルが配置されています。マクロが有効になると、GIFTEDCROOKが標的のシステムにサイレントにダウンロードされます。

GIFTEDCROOKが盗むもの:その範囲の拡大

GIFTEDCROOKの本質は、依然として情報窃取型マルウェアです。当初はブラウザデータの抽出に重点を置いていましたが、現在はGoogle Chrome、Microsoft Edge、Mozilla Firefoxなどの主要なブラウザからCookie、閲覧履歴、認証情報を収集するように設計されています。

しかし、時間の経過とともに、GIFTEDCROOKの機能は大幅に拡張されました。2025年2月にデモ版としてリリースされた後、新しいバージョン1.2および1.3では、強力なデータ窃取機能が導入され、特に7MB未満で過去45日以内に変更されたファイルを標的とする機能が強化されました。

新たなターゲット: 機密ファイルと内部文書

強化されたマルウェアは、特に次の拡張子を持つファイルを検索します。

ドキュメントとプレゼンテーション: .doc、.docx、.rtf、.ppt、.pptx、.pdf、.odt

スプレッドシートとデータファイル: .csv、.xls、.xlsx、.ods

アーカイブとテキスト: .rar、.zip、.eml、.txt

画像と設定: .jpeg、.jpg、.png、.sqlite、.ovpn

ブラウザの認証情報から最近の関連文書への焦点の移行は、標的を絞った情報収集における GIFTEDCROOK の役割を強調しています。

情報流出の手段:レーダーに引っかからない方法

マルウェアは目的のファイルを収集すると、盗んだデータをZIPアーカイブに圧縮します。アーカイブが20MBを超える場合は、小さな部分に分割されます。これらの断片は、攻撃者が管理するTelegramチャンネルを介して持ち出されます。これは、検出を回避し、従来のネットワークセキュリティツールを回避するのに役立つ手法です。

痕跡を隠すために、最終段階でバッチ スクリプトが実行され、感染したホストからマルウェアの証拠が削除されます。

単なる窃盗ではない戦略的スパイ活動

GIFTEDCROOKは単なる認証情報窃取ツールではなく、サイバースパイ活動のためのツールです。スプレッドシート、PDF、VPN設定といった最新の機密文書を収集する能力は、公共部門の職員や内部システムから機密情報を抜き出すという意図を示唆しています。リスクは甚大で、個々の侵害が組織ネットワーク全体を危険にさらす可能性があります。

地政学的タイミングと協調的な発展

このマルウェアの展開は、地政学的な争点、特にウクライナとロシア間のイスタンブール交渉と軌を一にしています。この相関関係は、GIFTEDCROOKの機能強化が偶然ではなく、政治的な出来事に合わせて監視機能を拡張することを目的とした、組織的な開発戦略の一環であったことを示唆しています。

結論:世界的な緊張を反映した脅威の増大

GIFTEDCROOKは、小規模なブラウザデータ窃盗から、あらゆる領域を網羅するスパイ活動プラットフォームへと進化を遂げており、国家機関が直面するサイバー脅威の複雑さの増大を反映しています。このマルウェアのバージョン進化は、巧妙に練られたフィッシング戦術とインテリジェントなデータ収集と相まって、デジタル侵入を戦略的利益のために武器化しようとする攻撃者の明確な意図を反映しています。機密情報を扱う立場にある者は、常に警戒を怠ってはなりません。これはもはやパスワード窃盗だけの問題ではなく、デジタル形式の情報戦と言えるでしょう。

トレンド

Dersinstion.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
たった一度の不注意なクリックが、セキュリティ脅威の扉を開く可能性があります。詐欺師は常にユーザーを欺くための手口を洗練させ、無害なウェブ閲覧を危険な行為へと変えています。そのような疑わしい存在の一つが、Dersinstion.comという不正サイトです。これは、欺瞞的なウェブページが策略と操作によってユーザーを搾取する典型的な例です。 Dersinstion.com: 無邪気さを装った静かな...

Arminuntor.com

アドウェア, ブラウザハイジャッカー
Arminuntor.com は、疑わしい Web サイトであり、ブラウザ ハイジャッカーであることが判明しています。 Arminuntor.com は、訪問者を欺いてプッシュ通知の許可を与えるよう誘導する欺瞞的な戦術を採用しています。さらに、この疑わしい Web サイトは、ユーザーを他の信頼できないオンラインの宛先にリダイレクトします。これらの調査結果を踏まえ、Arminuntor.com...

Rocket App ブラウザ拡張機能

望ましくない可能性のあるプログラム, ブラウザハイジャッカー
Rocket App アプリケーションを徹底的に評価した結果、その主な機能はブラウザ ハイジャッカーとして動作し、r.bsc.sien.com として知られる欺瞞的な検索エンジンを宣伝するという明確な目的があることが判明しました。このブラウザ拡張機能は、Web ブラウザの制御を掌握するという隠れた目的で、Web ブラウザの設定を操作および変更するように設計されています。 本質的に、これが意味...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
59,933
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
47,813
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
46,143
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...