Les experts en cybersécurité tirent la sonnette d’alarme : GIFTEDCROOK, un malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec jusqu’ici considéré comme un simple voleur de données de navigateurs, a connu en juin 2025 une évolution majeure. Il devient désormais un outil avancé d’exfiltration d’informations sensibles, visant principalement les entités gouvernementales et militaires ukrainiennes.
Un changement de stratégie : du vol de sessions web à l’espionnage ciblé
Initialement repéré par le CERT-UA en avril 2025, GIFTEDCROOK se contentait jusque-là de récupérer des cookies, des historique de navigation et des données d’authentification provenant de navigateurs populaires comme Chrome, Edge et Firefox.
Mais selon un rapport publié cette semaine par Arctic Wolf Labs, les nouvelles campagnes actives depuis juin montrent un changement radical de posture : le malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec est désormais capable de rechercher et voler des fichiers sensibles présents sur les disques des victimes.
Comment les attaques sont-elles menées ?
Le vecteur d’infection reste classique mais efficace :
PhishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank ciblé, via des emails comportant des documents Excel (.xlsm) contenant des macros malveillantes.
Les campagnes récentes utilisent des appâts à thème militaire, avec des titres de documents crédibles pour les cibles visées (ex : listes de mobilisation, alertes gouvernementales).
Un lien Mega intégré dans le mail redirige les victimes vers un fichier Excel infecté.
Dès l’ouverture du fichier et l’activation des macros, GIFTEDCROOK se déploie silencieusement.
Les nouvelles capacités du malware
Les versions 1.2 et 1.3 de GIFTEDCROOK embarquent désormais des fonctionnalités d’exfiltration avancée :
✅ Ciblage des fichiers récents : tous les documents créés ou modifiés dans les 45 derniers jours.
✅ Extensions visées : .doc, .docx, .pdf, .xls, .ppt, .jpeg, .png, .csv, .txt, .rar, .zip, .sqlite, .ovpn, etc.
✅ Taille maximale par fichier : 7 Mo pour rester discret.
✅ Exfiltration furtive : Les données sont compressées au format ZIP, puis envoyées en petits segments (<20 Mo) vers un canal Telegram contrôlé par les attaquants.
Enfin, pour brouiller les pistes, le malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec s’efface lui-même en exécutant un script de suppression une fois l’exfiltration terminée.
Pourquoi c’est une menace sérieuse ?
Cible stratégique : Les attaques semblent spécifiquement dirigées contre l’administration publique et les forces de sécurité ukrainiennes.
Alignement géopolitique : Le calendrier des campagnes semble coïncider avec les récentes négociations diplomatiques entre l’Ukraine et la Russie, notamment les discussions tenues à Istanbul.
Sophistication croissante : L’évolution rapide du malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec montre des capacités de développement continues, orientées vers des objectifs de cyber-espionnage à l’échelle étatique.
Recommandations de sécurité
✔️ Sensibiliser les collaborateurs aux risques des fichiers Excel avec macros, même lorsque le contenu semble officiel.
✔️ Bloquer les communications sortantes vers des plateformes comme Telegram depuis les postes sensibles.
✔️ Mettre en place des solutions de détection de comportements anormaux, en particulier pour les processus Excel et les activités de compression/exfiltration.
📄 Sources : Arctic Wolf Labs / The Hacker News