UAC-0226は、武器化されたWinRARアーカイブを通じて、改良版GIFTEDCROOKスティーラーを積極的に展開しています。偵察部隊やUAV要員を標的としたウクライナ軍テーマのおとりを使用し、攻撃者は高度な感染チェーンを被害者のマシンに仕込みます。
過去の亜種では展開後のファイルをユーザーが手動で操作する必要がありましたが、今回のキャンペーンではNTFS代替データストリームとパストラバーサル脆弱性を悪用し、サイレントな永続化を実現しています。
このマルウェアは侵害されたシステム上の機密性の高いデータを狙いながら、その存在を巧みに隠蔽します。攻撃は、光ファイバードローンや軍の階級に関する記述を含む、悪意を持って細工されたPDFファイルから始まります。
被害者がアーカイブを展開すると、ペイロードは最近のパストラバーサル脆弱性、具体的にはCVE-2025-8088およびCVE-2025-6218を悪用します。
そして、実行用ショートカットをWindowsのスタートアップディレクトリに密かに設置します。
さらに、ローカルアプリケーションデータフォルダに2つの隠しステージファイルを配置します。ユーザーがログインすると、このショートカットが最小化されたコマンドプロンプトを起動し、隠しPowerShellプロセスを実行してメインの感染チェーンを開始します。
攻撃者は、最新のエンドポイント検出システムを回避するため、回避技術を大幅に強化しています。
最初のPowerShellスクリプトは、自動生成されたガベージコード数千行・未使用のヘルパー関数・ランダムな変数名の下に埋め込まれており、静的解析を著しく困難にしています。
また、このスクリプトはプロセスインジェクションの明らかなシグネチャを回避するため、.NETリフレクションを通じてNtAllocateVirtualMemoryやNtCreateThreadExといった重要なネイティブAPIを動的に解決します。
実行が開始されると、ステージングされたペイロードを読み込み、数学的なデコード処理を適用してスティーラーの実体を復元します。
標準的な実行ファイルを注入する代わりに、PowerShellローダーはヘッダーのないポータブル実行可能(PE)イメージをメモリ上で再構築します。
ペイロードには、DLL(ダイナミックリンクライブラリ)を手動で構築するMain.dll!A関数としてエクスポートされた、カスタムのリフレクティブマッパーが実装されています。
Synapticsystemsによると、GIFTEDCROOKスティーラーはメモリ上で完全に展開されると、価値の高い認証情報や機密文書を積極的に探索するといいます。
疑わしいAPI呼び出しを回避するため、プロセス環境ブロックを直接走査し、一時フォルダやユーザープロファイルといった必要なシステム変数を特定します。
内部文字列は、標準的な8ビット文字ではなくUTF-16ワードに対応する16ビット値を処理する、RC4に類似したストリーム暗号によって厳重に保護されています。
ペイロードには、特定のWebブラウザや機密ファイル形式に特化した専用の収集モジュールが組み込まれています。
Google Chrome、Microsoft Edge、OperaといったChromium系ブラウザが使用するデータ保護インターフェースを標的として、ローカルに保存された秘密情報を復号します。
注意: IPアドレスおよびドメインは、誤解決やハイパーリンク化を防ぐため、意図的に無害化処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ、元の形式に戻してご利用ください。
翻訳元: https://cyberpress.org/giftedcrook-steals-sensitive-data/