Вирус GIFTEDCROOK научился красть не только пароли, но и корпоративные документы

Когда вы просто открываете таблицу в Excel, вы вряд ли думаете о кибершпионаже. Но именно так вредоносная программа GIFTEDCROOK, активно распространяемая хакерами из группировки UAC-0226, превращает офисные файлы в инструмент для кражи ваших самых ценных данных. Если раньше GIFTEDCROOK ограничивался воровством паролей и cookie из браузеров, то теперь он нацелен на систематический сбор документов, изображений и даже настроек VPN.

По данным специалистов Artic Wolf, в июне 2025 года были зафиксированы новые масштабные атаки с использованием GIFTEDCROOK, в которых вредоносное ПО распространяется через специально подготовленные письма с вложенными Excel-файлами. Как только пользователь запускает макросы в таком документе, на устройство загружается вирус, который способен собирать файлы до 7 мегабайт, созданные или изменённые за последние 45 дней.

В списке интересующих злоумышленников форматов — практически всё, что может хранить важные данные: документы Word и Excel, PDF, презентации, текстовые заметки, архивы и даже конфигурационные файлы VPN. После сбора информации программа незаметно для пользователя отправляет данные через Telegram-канал хакеров. Если объем украденного превышает 20 мегабайт, архив автоматически делится на части для обхода систем защиты. По завершении атаки вирус самоуничтожается, удаляя следы своего присутствия на компьютере.

Эксперты подчеркивают, что эволюция GIFTEDCROOK отражает общую тенденцию в киберугрозах: вместо узконаправленной кражи логинов хакеры переходят к сбору максимально широкой информации, включая внутренние документы компаний. Это делает угрозу особенно опасной для бизнеса и госорганизаций, где в таблицах и презентациях может храниться критически важная информация. Специалисты рекомендуют быть особенно осторожными с макросами в полученных по электронной почте файлах и использовать защищенные каналы для передачи документов.