O ator de ameaças conhecido como EncryptHub explorou uma vulnerabilidade de segurança recentemente corrigida no Microsoft Windows como um zero-day para entregar uma ampla gama de famílias de malware, incluindo backdoors e ladrões de informações como Rhadamanthys e StealC.
"Neste ataque, o ator de ameaças manipula arquivos .msc e o Caminho da Interface de Usuário Multilíngue (Multilingual User Interface Path - MUIPath) para baixar e executar payload malicioso, manter persistência e roubar dados sensíveis de sistemas infectados," disse o pesquisador da Trend Micro, Aliakbar Zahravi, em uma análise.
A vulnerabilidade em questão é a
CVE-2025-26633
(pontuação CVSS: 7.0), descrita pela Microsoft como uma vulnerabilidade de neutralização inadequada no Console de Gerenciamento da Microsoft (Microsoft Management Console - MMC) que poderia permitir a um atacante contornar uma funcionalidade de segurança localmente.
Foi corrigida pela empresa no início deste mês como parte de sua atualização de terça-feira de Patches.
A Trend Micro deu ao exploit o apelido de MSC EvilTwin, rastreando o suposto cluster de atividade russa sob o nome Water Gamayun.
O ator de ameaças, recentemente objeto de análises pela PRODAFT e Outpost24, também é chamado de LARVA-208.
O
CVE-2025-26633
, em sua essência, aproveita o framework do Console de Gerenciamento da Microsoft (MMC) para executar um arquivo Microsoft Console (.msc) malicioso por meio de um carregador PowerShell referido como carregador MSC EvilTwin.
Especificamente, envolve o carregador criando dois arquivos .msc com o mesmo nome: Um arquivo limpo e seu contraparte malicioso que é colocado no mesmo local, mas dentro de um diretório chamado "en-US." A ideia é que, quando o primeiro é executado, o MMC inadvertidamente seleciona o arquivo malicioso em vez disso e o executa.
Isso é alcançado explorando o recurso Multilingual User Interface Path (MUIPath) do MMC.
“Ao abusar da maneira como o mmc.exe usa o MUIPath, o atacante pode equipar o MUIPath en-US com um arquivo .msc malicioso, o que faz com que o mmc.exe carregue esse arquivo malicioso em vez do arquivo original e o execute sem o conhecimento da vítima,” Zahravi explicou.
Observou-se também que o EncryptHub adotava outros dois métodos para executar payload malicioso em um sistema infectado usando arquivos .msc -
Usando o método ExecuteShellCommand do MMC para baixar e executar um payload útil de próxima fase na máquina da vítima, uma abordagem previamente documentada pela empresa holandesa de cibersegurança Outflank em agosto de 2024.
Usando diretórios confiáveis fictícios como "C:\Windows\System32" (note o espaço após Windows) para contornar o Controle de Conta de Usuário (User Account Control - UAC) e soltar um arquivo .msc malicioso chamado "WmiMgmt.msc"
Dustin Childs, Chefe de Conscientização sobre Ameaças na Trend Micro Zero Day Initiative (ZDI), contou ao The Hacker News que o EncryptHub desenvolveu várias variantes de malware personalizadas, incluindo EncryptHub Stealer e dois backdoors codinomeados DarkWisp e SilentPrism.
É importante notar que a Outpost24 agrupou todos esses componentes sob o nome EncryptRAT.
A Trend Micro disse que as cadeias de ataque provavelmente começam com as vítimas baixando arquivos instaladores da Microsoft (MSI) assinados digitalmente, se passando por software chinês legítimo como DingTalk ou QQTalk, que são então usados para buscar e executar o carregador de um servidor remoto.
Diz-se que o ator de ameaças vem experimentando essas técnicas desde abril de 2024.
“Esta campanha está em desenvolvimento ativo; emprega múltiplos métodos de entrega e payloads personalizados projetados para manter persistência e roubar dados sensíveis, e depois exfiltrá-los para os servidores de comando e controle (C&C) dos atacantes,” disse Zahravi.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...