今年4月乌克兰电脑紧急应变团队(CERT-UA)资安业者Arctic Wolf针对此窃资软体进行追踪、调查,指出在CERT-UA揭露之后,骇客两度改版增加功能,从原本能够窃取浏览器存放的使用者资料,变成能同时窃取受害电脑的特定档案,成为骇客用来收集情资的工具。由于新版GiftedCrook出现的时间,恰巧与在伊斯坦堡举行的乌克兰和平谈判时间点吻合,因此他们推测骇客的目的,很有可能就是要收集乌克兰政府与军事单位的情报。
骇客疑似在2月开始打造GiftedCrook,并在3月正式用于实际攻击活动,之后陆续开发新功能。
针对骇客散布窃资软体的过程,主要都是透过钓鱼邮件作为接触受害者的初期管道,特别的是,这些骇客大多会宣称自己位于乌克兰西部的城市乌日霍罗德(Uzhhorod),或是乌克兰辖内的其他城市,来取信收信人,究竟骇客如何向收信人透露这样的讯息?Arctic Wolf没有进一步说明,但表示他们对于邮件的标头(Header)进行深度分析,发现几个值得注意的地方。
另一个取信受害者的地方,是收信人的栏位。骇客通常会寄送乌克兰东部的顿涅茨克区、位于巴赫姆特市(Bakhmut)的政府机关,借此增加钓鱼邮件的可信度。不过,真正的攻击目标,无从直接透过这些钓鱼邮件得知。研究人员指出,CERT-UA判断骇客针对乌克兰政府和军事机构的依据,是来自附件档案不断出现的军事登记与征兵诱饵。
GiftedCrook之所以再度引起注意,主要是因为Arctic Wolf在6月初找到1.2版恶意软体,当时骇客透过社交工程寄送带有PDF附件的钓鱼邮件,他们看到其中一些PDF档案内容声称乌克兰要实施军事登记,并采取新的军事人员、预备役征兵制度。但不寻常的是,此档案内含云端档案共享平台Mega的恶意URL,一旦收件人点选,他们就会被导向、下载物件连结与嵌入(OLE)档案,骇客声称这是组织军事人员名单,此为内有巨集的试算表档案(XLSM)。
对方声称收信人必须手动启用巨集才能正确显示内容,然而若是照做,电脑就会被植入GiftedCrook。此窃资软体会根据特定类型的文件档案进行分析和过滤,寻找过去15天曾修改、档案大小5 MB以内的档案,并将窃得的档案以ZIP档打包,然后透过特定金钥加密,最终传送到特定的Telegram频道。
后续研究人员于6月下旬找到新的GiftedCrook 1.3版,并指出此版窃资软体整并初期版本与1.2版的功能,在挖掘受害电脑45天内曾修改的特定资料同时,也会窃取多种浏览器的帐密与Cookie。附带一提的是,为了回避沙箱侦测,1.3版GiftedCrook采用休眠机制(sleep evasion technique)来达到目的。