WinRAR-Lücke, Hacker-Gruppe

WinRAR-Lücke: Hacker-Gruppe UAC-0226 setzt GIFTEDCROOK-Stealer ein

26.06.2026 - 22:42:34 | boerse-global.de

Hackergruppe nutzt WinRAR-Schwachstelle für gezielten Datendiebstahl bei ukrainischen Militärangehörigen.

UAC-0226: WinRAR-Lücke als Einfallstor für ukrainische Spionage
WinRAR-Lücke - Dunkles, stilisiertes Bild von Datendiebstahl von einem Computerbildschirm, symbolisiert Cyber-Bedrohung und Datenleck. 26.06.2026 - Bild: über boerse-global.de

Die Hackergruppe UAC-0226 nutzt eine Schwachstelle im Komprimierungsprogramm WinRAR, um ukrainische Militärangehörige auszuspionieren. Die Angreifer setzen dabei einen sogenannten Information-Stealer namens GIFTEDCROOK ein, der gezielt Zugangsdaten und Browser-Informationen abgreift.

Raffinierte Mehrstufen-Attacke

Die Infektionskette beginnt mit einem präparierten RAR-Archiv. Es täuscht ein harmloses PDF-Dokument vor – doch im Hintergrund lauert eine bösartige LNK-Verknüpfungsdatei. Die Sicherheitsforscher entdeckten, dass die Täter WinRAR Alternate Data Streams (ADS) und eine Path-Traversal-Schwachstelle ausnutzen, um den Schadcode einzuschleusen.

Öffnet ein Opfer das Archiv, installiert das System im Verborgenen einen PowerShell-Lader namens WC3 sowie eine codierte Nutzlast mit der Bezeichnung wt1. Um dauerhaft auf dem Rechner zu bleiben, platziert die Malware eine Verknüpfung im Autostart-Ordner von Windows.

Besonders trickreich: Die Ausführung verzögert sich bewusst um 60 Sekunden. Das ist eine gängige Anti-Analyse-Taktik, um automatisierte Sandbox-Umgebungen auszutricksen. Erst nach dieser Pause entschlüsselt der PowerShell-Lader die wt1-Nutzlast, indem er von jedem Byte den Wert 72 abzieht.

Unsichtbare Bedrohung im Arbeitsspeicher

Anzeige

Die Hackergruppe UAC-0226 nutzt eine WinRAR-Schwachstelle, um über Reflective Loading Zugangsdaten und Browser-Cookies zu stehlen. Mit unserem kostenlosen Sicherheitsleitfaden erhalten Sie sofort umsetzbare Maßnahmen zur Absicherung. Sicherheitsleitfaden anfordern

Die letzte Stufe des Angriffs setzt auf Reflective Loading – eine Technik, bei der die Malware eine kopflose PE-Datei direkt im Arbeitsspeicher ausführt, ohne sie jemals auf die Festplatte zu schreiben. Das hinterlässt kaum forensische Spuren auf dem befallenen System.

Der GIFTEDCROOK-Stealer ist hochspezialisiert auf Datendiebstahl. Die Sicherheitsexperten identifizierten folgende Zielobjekte:

  • Browser-Anmeldedaten und Cookies
  • VPN-Profile, insbesondere von OpenVPN
  • KeePass-Passwortdatenbanken
  • Java-KeyStores und Systeminformationen

Neue Kommandozentrale entdeckt

Anzeige

Betrifft Ihr Unternehmen WinRAR? Die aktuelle GIFTEDCROOK-Kampagne zielt auf militärische Aufklärung und authentifizierte Sitzungstoken. Unser Leitfaden hilft Ihnen, die Angriffsmuster zu erkennen. Leitfaden per E-Mail sichern

Die Analyse der Kommando- und Kontrollinfrastruktur (C2) förderte zutage, dass die Angreifer ihre Netzwerkkonfiguration kürzlich aktualisiert haben. Die Malware kommuniziert mit einem Server unter der IP-Adresse 142.111.194.73. Während frühere Versionen noch Port 8406 nutzten, operiert die aktuelle Variante nun über Port 8640.

Dieser Vorfall reiht sich ein in eine Welle zunehmender Infostealer-Aktivitäten. Erst am 24. Juni 2026 legten Ermittler die Infrastruktur der Schadsoftware-Familien StealC und Amadey lahm, die ähnliche Datentypen ins Visier nahmen. Die UAC-0226-Kampagne bleibt jedoch eine eigenständige Bedrohung mit Fokus auf militärische Aufklärung und authentifizierte Sitzungstoken. Die Forscher beobachten weiterhin, wie die Gruppe mit individuellen Ladern und Reflective Injection versucht, traditionelle Abwehrmaßnahmen zu umgehen.

de | wissenschaft | 69635929 |