Um grupo ligado à UAC-0226 (GIFTEDCROOK) aprimorou drasticamente a exploração da vulnerabilidade CVE-2025-8088 do WinRAR, utilizando NTFS Alternate Data Streams para plantar persistência silenciosa na pasta Startup do Windows sem interação do usuário. A falha, corrigida há um ano, continua sendo explorada por pelo menos três APTs russas — Void Rabisu, Sandworm e Turla — com um novo payload PE headerless e mapeador reflexivo customizado.
WinRAR CVE-2025-8088: o que muda
O ataque começa com um arquivo RAR malicioso que usa o tema de reconhecimento militar na Ucrânia como isca. Dentro do arquivo, o invasor explora ADS do NTFS para gravar um atalho (.lnk) diretamente na pasta Startup do Windows sem que o usuário perceba. Simultaneamente, dois estágios codificados são depositados em C:\ProgramData.
No próximo login da vítima, o atalho plantado executa um CMD minimizado que dispara processos PowerShell ocultos. O script PowerShell (armazenado como WC3 em ProgramData) gera milhares de funções lixo e identificadores aleatórios para dificultar análise estática. Por baixo do ruído, um núcleo compacto aguarda 60 segundos, decodifica um blob de 1,13 MB subtraindo 0x48 de cada byte, aloca memória executável via NtAllocateVirtualMemory e NtProtectVirtualMemory e cria uma thread em offset fixo.
Como o loader opera
O blob decodificado não é um PE convencional em disco. Trata-se de uma imagem headerless com cabeçalho customizado de 0x400 bytes que contém metadados como ImageBase original, SizeOfImage e RVAs de importação e relocação. Um mapeador PE reflexivo customizado resolve APIs via PEB-walking, copia seções, processa importações e relocações, ajusta permissões de memória e invoca DLL_PROCESS_ATTACH — tudo sem que o payload seja escrito como DLL convencional.
Roubo de credenciais e exfiltração
Dentro do módulo mapeado, strings são protegidas por cifra tipo RC4 operando sobre palavras UTF-16. A carga útil implementa coleta dedicada de navegadores Chromium (Chrome, Edge, Opera) — credenciais e cookies descriptografados via CryptUnprotectData — além de perfis Firefox (logins.json, key4.db, cookies.sqlite). Documentos, arquivos .ovpn, .kdbx e .jks também são reunidos e compactados em um ZIP com nome aleatório antes da exfiltração.
O loader envia telemetry de 16 bytes para 142.111.194[.]73:8640 com TLS validação desativada globalmente, informando o operador sobre progresso do mapeamento, falhas de relocação e execução do payload. Rotinas de auto-exclusão com delay limpam os artefatos em ProgramData e Startup.
Evolução tática da campanha
| Aspecto | Campanha de abril | Campanha atual |
|---|---|---|
| Persistência | Atalho visível no Desktop | ADS → pasta Startup (silencioso) |
| Payload | PE convencional em disco | PE headerless com mapper customizado |
| Loader | Download remoto na execução | Estágios locais em ProgramData |
| Porta C2 | 8406 | 8640 |
| Endpoint C2 | /rcv (estático) | Caminho randomizado |
O que fazer agora
- Atualizar o WinRAR para a versão 7.01 ou superior — a correção existe desde julho de 2025.
- Configurar regras EDR para alertar sobre criação de atalhos na pasta %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup.
- Monitorar processos PowerShell filhos de CMD.exe executados a partir de atalhos minimizados.
- Bloquear conexões de saída para 142.111.194[.]73 na porta 8640.
- Revisar logs de acesso a C:\ProgramData por contas de usuário sem privilégios administrativos.