Pesquisadores da Trend Micro identificaram que a gangue russa de ransomware EncryptHub, afiliada ao RansomHub, explorou uma falha de dia zero no Windows antes que a Microsoft liberasse um patch. A vulnerabilidade, catalogada como CVE-2025-26633 e corrigida no Patch Tuesday, afeta a estrutura do Microsoft Management Console (MMC). O grupo explorou esse defeito para executar código malicioso e exfiltrar dados dos sistemas-alvo, utilizando arquivos do Microsoft Console (.msc) e manipulando o recurso Multilingual User Interface Path (MUIPath).
Leia também
Correio entrega cartas com ameaça de ransomware
Treinador hackeou mais de 3.300 atletas
Os ataques consistem em criar dois arquivos .msc com nomes idênticos, sendo um legítimo e outro malicioso, colocado em um diretório “en-US”. Quando o mmc.exe é executado, ele carrega o arquivo malicioso em vez do original, permitindo que os invasores executem comandos sem levantar suspeitas. Além disso, o grupo usa técnicas como execução de comandos shell por meio do ActiveX do MMC e a criação de diretórios falsos que imitam caminhos legítimos do sistema para instalar cargas maliciosas, incluindo o ladrão EncryptHub, os backdoors DarkWisp e SilentPrism, e o ladrão Rhadamanthys.
Essa não é a primeira vez que falhas no Microsoft Management Console são exploradas. Em outubro passado, a Microsoft confirmou que ataques envolvendo arquivos Microsoft Saved Console (MSC) estavam sendo usados para executar código remoto em sistemas Windows. A repetição dessas vulnerabilidades destaca a necessidade de atualizações regulares e reforço na segurança dos sistemas para mitigar riscos de exploração por ransomware.
