A Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT-UA) identificou uma nova onda de ataques cibernéticos contra instituições ucranianas, com foco em unidades militares, forças de segurança e órgãos de governo local, especialmente nas regiões próximas à fronteira leste do país. Os ataques são conduzidos pelo grupo UAC-0226 e envolvem e-mails de phishing contendo arquivos Excel maliciosos com macros ativadas. Ao serem abertos, esses arquivos instalam dois malwares: um script PowerShell que cria uma conexão reversa e o GIFTEDCROOK, um novo tipo de stealer ainda não documentado.

O GIFTEDCROOK, escrito em C/C++, é capaz de roubar dados sensíveis de navegadores como Chrome, Edge e Firefox — incluindo cookies, histórico de navegação e dados de autenticação. As mensagens de e-mail usam temas enganosos, como desminagem, multas administrativas e compensação por bens destruídos, e são enviadas a partir de contas comprometidas para aumentar a credibilidade do golpe.

Em paralelo, outro grupo suspeito de ligações com a Rússia, o UNC5837, foi associado a campanhas de phishing direcionadas a organizações militares e governamentais da Europa, utilizando arquivos .RDP assinados para acesso remoto. Essas campanhas exploraram técnicas como redirecionamento de recursos e RemoteApps para roubo de dados e espionagem. Outro vetor recente de ataque envolve o malware Legion Loader, disseminado por meio de falsos CAPTCHAs e sites maliciosos. Ele instala uma extensão de navegador disfarçada de “Salvar no Google Drive”, capaz de coletar dados sensíveis dos usuários.