Pesquisadores de cibersegurança confirmaram que o Rhadamanthys Infostealer, um malware especializado no roubo de informações, está sendo distribuído por meio de arquivos com extensão MSC. O formato MSC é baseado em XML e executado pelo Microsoft Management Console (MMC), permitindo a execução de scripts, comandos e programas. Existem duas variantes principais do malware MSC: uma que explora a vulnerabilidade apds.dll (CVE-2024-43572) e outra que utiliza a funcionalidade Console Taskpad para executar comandos.

O uso desse tipo de ataque vem aumentando desde junho de 2024, e, embora a variante que explora a vulnerabilidade CVE-2024-43572 tenha sido neutralizada com um patch de segurança, a versão que utiliza o Console Taskpad ainda está ativa e pode ser executada normalmente no MMC. A abordagem mais recente do ataque disfarça o arquivo MSC como um documento do Word. Ao clicar no botão “Open”, o usuário aciona um script PowerShell hospedado em um servidor externo, que então baixa e executa o Rhadamanthys Infostealer.

O arquivo malicioso é salvo no diretório %LocalAppData% com o nome “eRSg.mp3”, dificultando sua detecção. Enquanto a técnica baseada na exploração da apds.dll se aproveitava de um código JavaScript embutido para execução remota dentro do DLL vulnerável, a variante atual simplesmente executa comandos diretamente dentro do MMC, tornando-se uma alternativa eficaz para disseminação do malware. Especialistas alertam que o número de ataques utilizando arquivos MSC está crescendo, especialmente porque não há uma vulnerabilidade específica sendo explorada na nova variante, tornando a abordagem mais difícil de ser bloqueada automaticamente.