CyberThao
Writer
Từ công cụ đánh cắp trình duyệt đến phần mềm gián điệp tinh vi
Mã độc GIFTEDCROOK – từng chỉ là một công cụ đơn giản đánh cắp dữ liệu trình duyệt – nay đã tiến hóa thành một phần mềm gián điệp có khả năng thu thập thông tin tình báo ở cấp độ cao.
Theo báo cáo được Arctic Wolf Labs công bố trong tuần này, các chiến dịch gần đây vào tháng 6/2025 cho thấy GIFTEDCROOK đã được nâng cấp để trích xuất nhiều loại tài liệu nhạy cảm từ thiết bị nạn nhân, bao gồm cả những tệp chứa dữ liệu riêng tư hoặc tài liệu nội bộ quan trọng từ trình duyệt.
Sự thay đổi này, kết hợp với nội dung của các email lừa đảo mà mã độc sử dụng, cho thấy mục tiêu rõ ràng là thu thập thông tin từ các tổ chức chính phủ và quân đội tại Ukraine.
Mã độc GIFTEDCROOK lần đầu tiên được phát hiện bởi Trung tâm Ứng cứu Khẩn cấp Máy tính Ukraine (CERT-UA) vào đầu tháng 4/2025. Theo phân tích, mã độc này liên quan đến một chiến dịch tấn công nhắm vào các cơ quan quân sự, thực thi pháp luật và chính quyền địa phương tại Ukraine.
Hoạt động tấn công được cho là do nhóm tin tặc UAC-0226 thực hiện, sử dụng các email lừa đảo có đính kèm tệp Microsoft Excel chứa macro độc hại. Khi người dùng bật macro, tệp Excel này sẽ là phương tiện cài đặt GIFTEDCROOK vào máy nạn nhân.
Ban đầu, đây là một mã độc đánh cắp thông tin cơ bản, chuyên thu thập cookie, lịch sử duyệt web và dữ liệu đăng nhập từ các trình duyệt phổ biến như Google Chrome, Microsoft Edge và Mozilla Firefox. Tuy nhiên, Arctic Wolf cho biết GIFTEDCROOK bắt đầu như một bản demo vào tháng 2/2025 và nhanh chóng được phát triển lên các phiên bản 1.2 và 1.3 với nhiều tính năng mạnh hơn.
Trong các phiên bản mới, mã độc có thể thu thập các tệp có kích thước dưới 7 MB và được tạo hoặc chỉnh sửa trong vòng 45 ngày gần nhất. Các định dạng tệp bị nhắm đến bao gồm: .doc, .docx, .rtf, .pptx, .ppt, .csv, .xls, .xlsx, .jpeg, .jpg, .png, .pdf, .odt, .ods, .rar, .zip, .eml, .txt, .sqlite, và .ovpn.
Để dụ nạn nhân mở tệp Excel chứa macro, chiến dịch tấn công sử dụng các tài liệu PDF giả mạo có chủ đề quân sự, trong đó có liên kết đến dịch vụ lưu trữ đám mây Mega chứa tệp Excel có tên “Список оповіщених військовозобов'язаних організації 609528.xlsm”. Khi người dùng mở và bật macro, mã độc GIFTEDCROOK sẽ được tải về và cài đặt âm thầm.
Phần dữ liệu thu thập được sẽ được đóng gói thành file ZIP và gửi lên kênh Telegram do tin tặc kiểm soát. Nếu kích thước vượt quá 20 MB, mã độc sẽ chia nhỏ file để vượt qua các hệ thống giám sát mạng. Cuối cùng, một đoạn mã batch sẽ được thực thi để xóa sạch dấu vết khỏi thiết bị bị nhiễm.
Điều này không chỉ đơn thuần là hành vi đánh cắp mật khẩu hay theo dõi thói quen người dùng – đây là một chiến dịch gián điệp mạng thực sự. Khả năng quét và thu thập các tài liệu như PDF, bảng tính Excel, thậm chí cả cấu hình VPN cho thấy mục tiêu sâu xa là thu thập thông tin tình báo có giá trị. Với những người làm trong các cơ quan nhà nước hay đơn vị nhạy cảm, đây là mối đe dọa nghiêm trọng không chỉ cho cá nhân mà cho cả hệ thống mạng mà họ đang kết nối.
Arctic Wolf nhận định thời điểm diễn ra các chiến dịch này cho thấy mối liên hệ rõ ràng với tình hình địa chính trị, đặc biệt là các cuộc đàm phán giữa Ukraine và Nga tại Istanbul gần đây.
Sự tiến hóa từ một công cụ đánh cắp thông tin đăng nhập đơn giản trong phiên bản 1, đến khả năng thu thập dữ liệu toàn diện trong các phiên bản 1.2 và 1.3 phản ánh một chiến lược phát triển có chủ đích – nơi mà các tính năng mới của mã độc được thiết kế phù hợp với mục tiêu địa chính trị nhằm tối đa hóa lượng dữ liệu thu thập được từ các hệ thống tại Ukraine.
Đọc chi tiết tại đây: https://thehackernews.com/2025/06/giftedcrook-malware-evolves-from.html
Mã độc GIFTEDCROOK – từng chỉ là một công cụ đơn giản đánh cắp dữ liệu trình duyệt – nay đã tiến hóa thành một phần mềm gián điệp có khả năng thu thập thông tin tình báo ở cấp độ cao.
Theo báo cáo được Arctic Wolf Labs công bố trong tuần này, các chiến dịch gần đây vào tháng 6/2025 cho thấy GIFTEDCROOK đã được nâng cấp để trích xuất nhiều loại tài liệu nhạy cảm từ thiết bị nạn nhân, bao gồm cả những tệp chứa dữ liệu riêng tư hoặc tài liệu nội bộ quan trọng từ trình duyệt.
Sự thay đổi này, kết hợp với nội dung của các email lừa đảo mà mã độc sử dụng, cho thấy mục tiêu rõ ràng là thu thập thông tin từ các tổ chức chính phủ và quân đội tại Ukraine.
Mã độc GIFTEDCROOK lần đầu tiên được phát hiện bởi Trung tâm Ứng cứu Khẩn cấp Máy tính Ukraine (CERT-UA) vào đầu tháng 4/2025. Theo phân tích, mã độc này liên quan đến một chiến dịch tấn công nhắm vào các cơ quan quân sự, thực thi pháp luật và chính quyền địa phương tại Ukraine.
Hoạt động tấn công được cho là do nhóm tin tặc UAC-0226 thực hiện, sử dụng các email lừa đảo có đính kèm tệp Microsoft Excel chứa macro độc hại. Khi người dùng bật macro, tệp Excel này sẽ là phương tiện cài đặt GIFTEDCROOK vào máy nạn nhân.
Ban đầu, đây là một mã độc đánh cắp thông tin cơ bản, chuyên thu thập cookie, lịch sử duyệt web và dữ liệu đăng nhập từ các trình duyệt phổ biến như Google Chrome, Microsoft Edge và Mozilla Firefox. Tuy nhiên, Arctic Wolf cho biết GIFTEDCROOK bắt đầu như một bản demo vào tháng 2/2025 và nhanh chóng được phát triển lên các phiên bản 1.2 và 1.3 với nhiều tính năng mạnh hơn.
Trong các phiên bản mới, mã độc có thể thu thập các tệp có kích thước dưới 7 MB và được tạo hoặc chỉnh sửa trong vòng 45 ngày gần nhất. Các định dạng tệp bị nhắm đến bao gồm: .doc, .docx, .rtf, .pptx, .ppt, .csv, .xls, .xlsx, .jpeg, .jpg, .png, .pdf, .odt, .ods, .rar, .zip, .eml, .txt, .sqlite, và .ovpn.
Để dụ nạn nhân mở tệp Excel chứa macro, chiến dịch tấn công sử dụng các tài liệu PDF giả mạo có chủ đề quân sự, trong đó có liên kết đến dịch vụ lưu trữ đám mây Mega chứa tệp Excel có tên “Список оповіщених військовозобов'язаних організації 609528.xlsm”. Khi người dùng mở và bật macro, mã độc GIFTEDCROOK sẽ được tải về và cài đặt âm thầm.
Phần dữ liệu thu thập được sẽ được đóng gói thành file ZIP và gửi lên kênh Telegram do tin tặc kiểm soát. Nếu kích thước vượt quá 20 MB, mã độc sẽ chia nhỏ file để vượt qua các hệ thống giám sát mạng. Cuối cùng, một đoạn mã batch sẽ được thực thi để xóa sạch dấu vết khỏi thiết bị bị nhiễm.
Điều này không chỉ đơn thuần là hành vi đánh cắp mật khẩu hay theo dõi thói quen người dùng – đây là một chiến dịch gián điệp mạng thực sự. Khả năng quét và thu thập các tài liệu như PDF, bảng tính Excel, thậm chí cả cấu hình VPN cho thấy mục tiêu sâu xa là thu thập thông tin tình báo có giá trị. Với những người làm trong các cơ quan nhà nước hay đơn vị nhạy cảm, đây là mối đe dọa nghiêm trọng không chỉ cho cá nhân mà cho cả hệ thống mạng mà họ đang kết nối.
Arctic Wolf nhận định thời điểm diễn ra các chiến dịch này cho thấy mối liên hệ rõ ràng với tình hình địa chính trị, đặc biệt là các cuộc đàm phán giữa Ukraine và Nga tại Istanbul gần đây.
Sự tiến hóa từ một công cụ đánh cắp thông tin đăng nhập đơn giản trong phiên bản 1, đến khả năng thu thập dữ liệu toàn diện trong các phiên bản 1.2 và 1.3 phản ánh một chiến lược phát triển có chủ đích – nơi mà các tính năng mới của mã độc được thiết kế phù hợp với mục tiêu địa chính trị nhằm tối đa hóa lượng dữ liệu thu thập được từ các hệ thống tại Ukraine.
Đọc chi tiết tại đây: https://thehackernews.com/2025/06/giftedcrook-malware-evolves-from.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview