SOC Prime Bias: Alto

02 Jul 2026 06:38 UTC

Evolución de las Herramientas UAC-0226 de ADS de WinRAR a Carga Reflectiva de GIFTEDCROOK

Author Photo
SOC Prime Team linkedin icon Seguir
Evolución de las Herramientas UAC-0226 de ADS de WinRAR a Carga Reflectiva de GIFTEDCROOK
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El actor de amenazas UAC-0226 ha perfeccionado su cadena de entrega al abusar de una falla de recorrido de ruta en WinRAR junto con los flujos de datos alternativos de NTFS para establecer una persistencia silenciosa. La campaña se basa en un cargador de PowerShell de múltiples etapas para desplegar una carga útil PE reflexiva sin encabezado conocida como GIFTEDCROOK. El malware está diseñado para recopilar credenciales del navegador, datos de configuración de VPN y documentos sensibles de sistemas comprometidos.

Investigación

El análisis desglosa un flujo de ejecución complejo construido alrededor de un archivo WinRAR armado, un PDF señuelo y un archivo LNK oculto colocado en la carpeta de inicio de Windows. Los investigadores identificaron una rutina de decodificación aditiva personalizada y un cargador reflexivo avanzado que mapea un DLL directamente en la memoria. La telemetría también mostró el cargador reportando el estado de ejecución a su servidor de comando y control a través de una estructura personalizada de 16 bytes.

Mitigación

Las organizaciones deben priorizar la actualización de WinRAR para abordar las debilidades de recorrido de rutas. Hacer cumplir políticas estrictas de ejecución de PowerShell y monitorear la actividad inusual de flujos de datos alternativos de NTFS puede ayudar a interrumpir las primeras etapas del compromiso. Los equipos de seguridad también deben estar atentos a archivos no autorizados dejados en las carpetas de inicio y comportamientos sospechosos de asignación de memoria como NtAllocateVirtualMemory.

Respuesta

Si se detecta esta actividad, aísle de inmediato los hosts afectados para evitar una mayor exfiltración de datos. Inspeccione el C:ProgramData directorio en busca de archivos sin extensión sospechosos y revise la carpeta de inicio del usuario para atajos LNK no autorizados. Se deben realizar análisis forenses de memoria para identificar DLLs reflexivos, y se deben verificar los registros de red para la comunicación con la infraestructura de comando y control identificada.

Flujo de Ataque

Ejecución de Simulación

Requisito previo: La Comprobación Previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un mal diagnóstico.

  • Narrativa de Ataque y Comandos: El adversario apunta a desplegar una carga útil de ladrón. Para minimizar el impacto y evadir la interacción del usuario, organizan una carga útil en C:ProgramDataWC3. Luego invocan PowerShell con un conjunto de banderas ‘living-off-the-land’ diseñadas para eludir políticas de ejecución y ocultar la ventana del usuario. El comando usará iex (Invoke-Expression) para ejecutar un comando que hace referencia al archivo organizado, simulando el comportamiento de carga reflexiva de la campaña UAC-0226.

  • Script de Prueba de Regresión:

    # 1. Configuración: Crear el directorio específico usado en la regla de detección
    $targetDir = "C:ProgramDataWC3"
    if (!(Test-Path $targetDir)) {
        New-Item -Path $targetDir -ItemType Directory -Force
    }
    
    # 2. Crear un archivo de carga útil ficticia para satisfacer el requisito de ruta
    $dummyFile = "$targetDirpayload.ps1"
    "Write-Output 'Carga útil maliciosa simulada'" | Out-File -FilePath $dummyFile -Encoding ascii
    
    # 3. Ejecutar la cadena de comandos maliciosos (Esto debería activar la regla)
    # Usamos Start-Process para asegurar que la línea de comandos se capture como un nuevo proceso
    Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden
    
    Write-Host "[+] Comando de simulación ejecutado. Compruebe su SIEM para la alerta."
  • Comandos de Limpieza:

    # Eliminar el directorio y los archivos ficticios creados durante la simulación
    Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Limpieza completa."