WinRAR-Lücke, Zero-Day-Exploit

WinRAR-Lücke: Zero-Day-Exploit gegen ukrainischen Geheimdienst

29.06.2026 - 12:15:36 | boerse-global.de

Hacker nutzen unbekannte WinRAR-Lücke für Angriff auf ukrainische Militärs. Die Malware GIFTEDCROOK stiehlt Browser-Zugangsdaten.

WinRAR Zero-Day: Spionage gegen ukrainischen Geheimdienst
WinRAR-Lücke - Stilisierte, leuchtende Vorhängeschloss-Ikone auf dunkler Leiterplatte mit digitalen Datenströmen und Schadcode, die Cybersicherheitsbedrohungen darstellt. 29.06.2026 - Bild: über boerse-global.de

Eine bislang unbekannte Sicherheitslücke im weit verbreiteten Archivierungsprogramm WinRAR wird für eine gezielte Cyber-Spionage-Aktion gegen den ukrainischen Militärgeheimdienst genutzt. Die am 29. Juni 2026 gestartete Kampagne stammt von der als UAC-0226 identifizierten Gruppe.

Hochmoderne Schadsoftware im Einsatz

Die Angreifer setzen eine weiterentwickelte Version ihrer Schadsoftware GIFTEDCROOK ein. Das Besondere: Die Malware nutzt ausgeklügelte Verschleierungstechniken und läuft vollständig im Arbeitsspeicher. So hinterlässt sie kaum Spuren auf den befallenen Systemen.

Der Angriff erfolgt in mehreren Stufen. Zunächst nutzen die Hacker eine sogenannte Zero-Day-Lücke in WinRAR aus – eine Schwachstelle, die selbst dem Hersteller zum Zeitpunkt des Angriffs noch nicht bekannt war. Öffnet ein Zielnutzer eine präparierte Archivdatei, wird automatisch Schadcode ausgeführt.

Tarnkappen-Methoden der nächsten Generation

Die GIFTEDCROOK-Kampagne setzt auf mehrere hochentwickelte Tarnmethoden:

  • PowerShell-Verschleierung: Die Befehle werden so codiert, dass sie von Sicherheitssoftware kaum erkannt werden.
  • Reflective DLL Loading: Die Malware lädt Bibliotheken direkt aus dem Speicher, ohne sie auf die Festplatte zu schreiben.
  • NTFS Alternate Data Streams: Schädliche Komponenten werden in versteckten Datenströmen des Windows-Dateisystems abgelegt – für normale Dateimanager unsichtbar.
Anzeige

Der aktuelle Fall zeigt, wie Hacker selbst kleinste Schwachstellen im Windows-Dateisystem für ihre Spionage-Zwecke missbrauchen. Dieser kostenlose Experten-Report zeigt Ihnen, wie Sie Ihren Windows-PC in wenigen Schritten effektiv vor solchen Angriffen schützen. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

Gezielter Diebstahl von Zugangsdaten

Das Hauptziel der Gruppe UAC-0226 ist der systematische Diebstahl sensibler Informationen von ukrainischem Verteidigungs- und Geheimdienstpersonal. Die Malware extrahiert gezielt Browser-Zugangsdaten aus Google Chrome, Mozilla Firefox und anderen Chromium-basierten Browsern.

Durch die speicherresidente Ausführung minimiert GIFTEDCROOK die forensischen Spuren auf Windows-Systemen. Sicherheitsexperten sehen darin eine signifikante Weiterentwicklung der Taktiken dieser Gruppe im Vergleich zu früheren Operationen.

Anzeige

Da Cyber-Spione es verstärkt auf Browser-Zugangsdaten abgesehen haben, wird der klassische Passwort-Schutz immer mehr zum Sicherheitsrisiko. Erfahren Sie in diesem Gratis-Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, Microsoft und Co. hacker-sicher machen. Sichere Alternative zu Passwörtern jetzt gratis nachlesen

Weltweite Spionage-Welle

Die GIFTEDCROOK-Kampagne reiht sich ein in eine Serie hochkarätiger Cyber-Spionage-Aktionen gegen Regierungen und Energieinfrastruktur weltweit. Erst kürzlich wurden ähnliche Methoden von anderen Akteuren dokumentiert:

  • Die China-nahe Gruppe GopherWhisper attackierte mongolische Institutionen
  • Die Gruppierung CL-STA-1062 infiltrierte Energienetze in Südostasien

Dass Angreifer eine weit verbreitete Software wie WinRAR als Einfallstor nutzen, zeigt die anhaltende Verwundbarkeit kritischer Software-Lieferketten. Sicherheitsorganisationen haben inzwischen Indikatoren für Kompromittierung veröffentlicht, darunter spezifische Malware-Hashes, um Netzwerkadministratoren bei der Erkennung und Abwehr der Bedrohung zu unterstützen.

de | wissenschaft | 69652163 |