O ator de ameaça conhecido como EncryptHub continua a explorar uma falha de segurança, agora corrigida, que afeta o Microsoft Windows para entregar payloads maliciosos.
A Trustwave SpiderLabs disse que observou recentemente uma campanha do EncryptHub que combina engenharia social e a exploração de uma vulnerabilidade no framework Microsoft Management Console (MMC) (
CVE-2025-26633
, também conhecida como MSC EvilTwin) para desencadear a rotina de infecção através de um arquivo Microsoft Console (MSC) malicioso.
"Essas atividades são parte de uma onda ampla e contínua de atividades maliciosas que misturam engenharia social com exploração técnica para contornar defesas de segurança e ganhar controle sobre ambientes internos," disseram os pesquisadores da Trustwave, Nathaniel Morales e Nikita Kazymirskyi.
EncryptHub, também monitorado como LARVA-208 e Water Gamayun, é um grupo de hackers russo que ganhou destaque em meados de 2024.
Operando em um ritmo acelerado, a equipe motivada financeiramente é conhecida por usar vários métodos, incluindo ofertas de emprego falsas, revisão de portfólio e até comprometer jogos no Steam, para infectar alvos com malware stealer.
O abuso do
CVE-2025-26633
pelo ator de ameaça foi documentado anteriormente pela Trend Micro em março de 2025, revelando ataques que entregam dois backdoors chamados SilentPrism e DarkWisp.
A sequência de ataque mais recente envolve o ator de ameaça se passando por um departamento de TI e enviando uma solicitação do Microsoft Teams para o alvo com o objetivo de iniciar uma conexão remota e implantar payloads secundários por meio de comandos PowerShell.
Entre os arquivos distribuídos estão dois arquivos MSC com o mesmo nome, um benigno e o outro malicioso, que é usado para acionar o
CVE-2025-26633
, resultando na execução do arquivo MSC malicioso quando seu contraparte inofensivo é lançado.
O arquivo MSC, por sua vez, busca e executa de um servidor externo outro script PowerShell que coleta informações do sistema, estabelece persistência no hospedeiro e comunica-se com um servidor de comando e controle (C2) do EncryptHub para receber e executar payloads maliciosos, incluindo um stealer chamado Fickle Stealer.
"O script recebe comandos encriptados em AES do atacante, os descriptografa e executa os payloads diretamente na máquina infectada," disseram os pesquisadores.
Também implantado pelo ator de ameaça durante o ataque está um loader baseado em Go chamado SilentCrystal, que abusa do Brave Support, uma plataforma legítima associada ao navegador web Brave, para hospedar malware de próxima fase – um arquivo ZIP contendo os dois arquivos MSC para armar o
CVE-2025-26633
.
O que torna isso significativo é que o upload de anexos de arquivo na plataforma Brave Support é restrito para novos usuários, indicando que os atacantes de alguma forma conseguiram obter acesso não autorizado a uma conta com permissões de upload para realizar o esquema.
Algumas das outras ferramentas implantadas incluem um backdoor Golang que opera tanto em modo cliente quanto em modo servidor para enviar metadados do sistema ao servidor C2, bem como configurar a infraestrutura C2 fazendo uso do protocolo de tunelamento proxy SOCKS5.
Há também evidências de que os atores de ameaças continuam a confiar em iscas de videoconferência, desta vez configurando plataformas falsas como RivaTalk para enganar vítimas a baixar um instalador MSI.
Executar o instalador leva à entrega de vários arquivos: o binário legítimo do instalador Early Launch Anti-Malware (ELAM) da Symantec que é usado para carregar lateralmente uma DLL maliciosa que, por sua vez, lança um comando PowerShell para baixar e executar outro script PowerShell.
Ele é projetado para coletar informações do sistema e exfiltrá-las para o servidor C2 e aguardar instruções PowerShell criptografadas que são decodificadas e executadas para dar aos atacantes controle total do sistema.
O malware também exibe uma mensagem pop-up falsa de "Configuração do Sistema" como um artifício, enquanto inicia um trabalho em segundo plano para gerar tráfego falso de navegador fazendo solicitações HTTP para sites populares, de forma a misturar comunicações C2 com atividade de rede normal.
"O ator de ameaça EncryptHub representa um adversário bem financiado e adaptável, combinando engenharia social, abuso de plataformas confiáveis e a exploração de vulnerabilidades do sistema para manter persistência e controle," disse a Trustwave.
"O uso de plataformas falsas de videoconferência, estruturas de comando criptografadas e conjuntos de ferramentas de malware em evolução sublinha a importância de estratégias de defesa em camadas, inteligência de ameaças contínua e treinamento de conscientização do usuário."
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...