Hack Alerta

Nova cadeia de ataque GIFTEDCROOK usa WinRAR ADS para roubar dados de navegadores

Novo malware GIFTEDCROOK utiliza Alternate Data Streams do WinRAR e carregamento reflexivo para roubar credenciais de navegadores, focando em pessoal militar ucraniano.

Uma nova cadeia de ataque documentada vinculada ao grupo de ameaças UAC-0226 está colocando usuários Windows em risco sério. A campanha utiliza arquivos compactados WinRAR armadilhados, streams de arquivos ocultos e uma técnica sofisticada de carregamento em memória para entregar o malware GIFTEDCROOK, um stealer projetado para drenar silenciosamente credenciais de navegadores, cookies e documentos sensíveis de máquinas infectadas.

Como o ataque funciona

A infecção começa com o que parece ser um arquivo compactado WinRAR normal, mas esconde muito mais do que um simples documento. Utilizando um recurso chamado Alternate Data Streams (ADS), os atacantes ocultam múltiplos arquivos dentro do arquivo, incluindo um PDF isca e um arquivo de atalho (LNK) que silenciosamente deposita seu conteúdo em locais-chave do sistema quando aberto.

O analista da vítima abre o que parece ser um documento militar legítimo, sem perceber que o verdadeiro ataque já começou silenciosamente em segundo plano. A análise técnica revela que o arquivo compactado deposita dois arquivos no sistema: um carregador PowerShell fortemente ofuscado em C:\ProgramData\WC3 e o payload codificado final em C:\ProgramData\wt1.

Técnicas de evasão e persistência

Um atalho de inicialização colocado na pasta de Inicialização do Windows garante que o GIFTEDCROOK seja executado automaticamente sempre que o usuário fizer login novamente, dando ao atacante acesso persistente sem esforço adicional. O carregador PowerShell dentro do WC3 está enterrado sob milhares de linhas de código lixo, nomes de função aleatórios e chamadas de saída irrelevantes projetadas para confundir ferramentas de análise.

A lógica de execução real lê o payload codificado do wt1, o decodifica subtraindo 72 de cada byte e carrega o resultado diretamente na memória usando chamadas de API do Windows de baixo nível, evitando completamente um arquivo executável reconhecível no disco. O payload decodificado é um arquivo PE personalizado sem cabeçalho, o que significa que carece do cabeçalho padrão que os scanners de segurança normalmente procuram.

Exfiltração de dados

Uma vez ativo, o GIFTEDCROOK percorre o ambiente do processo para localizar diretórios de perfil do navegador sem fazer chamadas de API óbvias que poderiam acionar detecção comportamental. Ele descriptografa material sensível do navegador usando a função CryptUnprotectData do Windows, mirando nas lojas de credenciais do Chrome, Edge, Opera e Firefox de forma sistemática.

Os arquivos coletados são organizados em um diretório de staging e empacotados em um arquivo ZIP antes de serem enviados para o servidor de comando e controle em hxxps://142.111.194[.]73:8640/dj5FZEiLnA/. O malware também armazena um identificador estável por infecção em um arquivo temporário, permitindo que o atacante rastreie vítimas individuais entre sessões sem depender do registro do Windows.

Indicadores de Comprometimento (IoCs)

  • SHA-256 (Malicious Archive): 420f1931af9b3f7d02c5edfc78eb69abdad6e71d2c3e9b81f9cbc3823a503654
  • SHA-256 (Decoy PDF): dc4c906e56ecb446cbb10b227e1fb470e428108584678314533d80e52a2b9b30
  • IP:Port: 142.111.194[.]73:8640
  • File Path: C:\ProgramData\WC3
  • File Path: C:\ProgramData\wt1

O que os CISOs devem fazer imediatamente

As equipes de segurança devem monitorar modificações na pasta de inicialização, execução incomum do PowerShell envolvendo comandos IEX e conexões de saída para portas não padrão. Bloquear a execução de LNK baseada em arquivos compactados e impor políticas de execução do PowerShell mais rigorosas podem reduzir significativamente a exposição a este tipo de cadeia de ataque.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.