WinRAR-Lücke CVE-2025-8088: Hacker installieren Datendieb GIFTEDCROOK
26.06.2026 - 19:38:01 | boerse-global.de
Die Angreifer nutzen eine Schwachstelle im weit verbreiteten Archivierungsprogramm WinRAR, um einen spezialisierten Datendieb namens GIFTEDCROOK zu installieren.
So funktioniert der Angriff
Die Infektionskette beginnt mit einem präparierten RAR-Archiv. Es enthält eine harmlose PDF-Datei als Tarnung und eine bösartige Verknüpfung (LNK-Datei). Die Gruppe nutzt dabei die Sicherheitslücke CVE-2025-8088 aus – einen Path-Traversal-Fehler, der es ermöglicht, Dateien außerhalb des eigentlichen Entpackverzeichnisses zu platzieren.
Konkret schleusen die Angreifer die schadhafte Verknüpfung direkt in den Windows-Autostart-Ordner. Das sorgt dafür, dass der Schadcode bei jedem Systemneustart erneut ausgeführt wird. Parallel dazu landen zwei weitere Dateien im Verzeichnis C:ProgramData: ein PowerShell-Lader namens WC3 und ein codiertes Nutzlastpaket mit der Bezeichnung wt1.
Raffinierte Verschleierungstechnik
Die Sicherheitsforscher heben besonders die raffinierte Ausführungstechnik hervor. Der PowerShell-Lader wartet zunächst 60 Sekunden, bevor er mit der Dekodierung beginnt. Die wt1-Datei ist ein 1.131.008 Byte großer Datenblock. Zur Wiederherstellung der eigentlichen Schadsoftware subtrahiert das Skript von jedem Byte den Wert 72 (hexadezimal 0x48).
Nach der Entschlüsselung kommt ein sogenannter Reflective Mapper zum Einsatz. Er injiziert den kopflosen Portable Executable direkt in den Arbeitsspeicher – ohne eine Datei auf der Festplatte zu hinterlassen. Diese dateilose Methode macht es für Sicherheitssoftware deutlich schwerer, den Schädling zu erkennen und zu stoppen.
Der beschriebene Angriff zeigt, wie gezielt Cyberkriminelle sensible Informationen ausspähen. Der Passwort-Manager KeePassXC bietet hier einen hohen Schutzstandard, den dieser kostenlose PDF-Ratgeber nun auch für Einsteiger leicht verständlich erklärt. KeePassXC sicher einrichten und nutzen
Umfassender Datendiebstahl
GIFTEDCROOK ist auf breiten Datendiebstahl ausgelegt. Die Malware sammelt Anmeldedaten und Sitzungscookies aus den wichtigsten Webbrowsern – darunter Chrome, Edge, Firefox und Opera. Darüber hinaus durchsucht sie das System nach VPN-Profilen, KeePass-Passwortdatenbanken und Java-KeyStores.
Die Kommunikation mit den Angreifern läuft über eine zentrale Kommandozentrale. Diese war zuletzt unter der IP-Adresse 142.111.194[.]73 erreichbar. Auffällig: Die Täter haben den Kommunikationsport kürzlich von 8406 auf 8640 geändert – ein Zeichen für aktive Anpassungen ihrer Infrastruktur.
Wer noch Passwörter im Browser speichert oder auf einfache Listen setzt, geht angesichts solcher Datendiebe ein unnötiges Risiko ein. Ein gratis PDF-Ratgeber zeigt Ihnen Schritt für Schritt, wie Sie alle Ihre Zugangsdaten sicher und verschlüsselt auf Ihrem eigenen Computer verwalten. Nie wieder Passwort-Chaos: Jetzt kostenlosen Guide sichern
Bekannte Schwachstelle im Visier mehrerer Gruppen
Die ausgenutzte Sicherheitslücke CVE-2025-8088 ist kein Einzelfall. Bereits seit Ende September 2025 nutzt auch die mit dem russischen Geheimdienst FSB in Verbindung gebrachte Gruppe Gamaredon dieselbe WinRAR-Schwachstelle. Ihre Angriffe richteten sich ebenfalls gegen ukrainische Regierungsstellen und Militäreinrichtungen. Gamaredon setzte dabei auf eine Suite von PowerShell-basierten Werkzeugen und nutzte Cloud-Speicherdienste zum Abtransport der gestohlenen Daten.
