GIFTEDCROOK 악성 소프트웨어, 민감한 데이터를 훔치기 위해 진화합니다

사이버 그룹이 가짜 군사 이메일과 텔레그램 메시지를 통해 우크라이나인들의 데이터를 훔치기 위해 스파이웨어를 업그레이드했습니다.

해킹 그룹 UAC-0226이 그들의 GIFTEDCROOK 스파이웨어를 업그레이드하여 기본 웹 브라우저 데이터 도용에서 발전하여 민감한 컴퓨터 파일을 추출할 수 있는 고급 소프트웨어로 변화시켰습니다.

Arctic Wolf Labs의 연구원들에 따르면, 이 그룹은 2025년 6월 우크라이나와 러시아가 이스탄불에서 회담을 진행하는 동안 이런 업그레이드 된 공격을 시작했습니다.

Arctic Wolf Labs는 “이 작업은 아마도 손상된 기기로부터의 데이터 유출을 통한 정보 수집에 중점을 두었을 것”이라고 보고하며, 이 캠페인은 6월 2일 이스탄불에서의 포로와 시신 교환에 대한 협상 직전에 확대되었다고 지적했습니다.

해커들은 사람들이 감염된 파일을 열게 만들기 위해 군사 메시지처럼 보이는 가짜 이메일을 사용했습니다. 이러한 이메일들은 대부분 징병 정보나 행정 벌금에 관한 내용이 포함되어 있다고 주장했습니다. 피해자가 링크를 클릭하거나 파일을 열고 지시사항을 따랐다면, 스파이웨어는 비밀스럽게 설치되어 파일을 훔치기 시작했습니다.

업데이트된 버전의 악성 소프트웨어는 사용자가 특정 파일 유형 및 최근 문서, 그리고 크롬, 엣지, 파이어폭스에서의 브라우저 쿠키와 비밀번호를 검색할 수 있게 해주었습니다. Arctic Wolf Labs는 해커들이 텔레그램 채널을 통해 모든 훔친 데이터를 전송했다고 설명합니다.

가짜 문서 중 하나는 군대에 징집되는 사람들의 명단인 척 했습니다. 이 문서는 독자들에게 매크로를 활성화하도록 요청하여, 해커들이 악성 소프트웨어를 발사하는 데 흔히 사용하는 트릭을 사용했습니다. 연구자들은 또한 UAC-0226이 사용하는 이메일 시스템이 우크라이나를 대상으로 하는 다른 해커 그룹들과 공유되고 있음을 발견했는데, 이는 보다 광범위한 캠페인을 시사합니다.

전문가들은 악성 소프트웨어가 시간이 지남에 따라 계속 진화할 것으로 예측합니다. 조직들은 직원들에게 피싱 이메일 식별과 안전 도구 사용에 대해 교육할 필요가 있으며, 사이버 공격이 점점 더 진보하고 실제 세계의 이벤트와 더욱 밀접하게 연결됨에 따라 경계를 늦추어야 합니다.