Легаси-утилита MSHTA в Windows снова стала удобной точкой входа для вредоносов. Bitdefender сообщает, что с начала 2026 года видит рост активности, где злоумышленники используют Microsoft HTML Application Host (mshta.exe) для доставки стилеров и загрузчиков.
Проблема в том, что MSHTA — легитимный компонент Windows. Он запускает HTA-файлы (HTML Application). Это не «страничка в браузере», а формат, который тесно работает с системой и исполняет скрипты. В итоге у атакующего появляется простой способ запустить код, не притаскивая на диск «явный» .exe на первом шаге.
Почему MSHTA до сих пор опасен, хотя это устаревший инструмент
Microsoft HTML Application Host изначально делали для легких desktop-задач и администрирования. Но как и многие старые скриптовые компоненты Windows, он давно стал любимым инструментом злоумышленников: через него запускают вредные скрипты, подтягивают полезную нагрузку из сети и иногда обходят часть защитных политик.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Bitdefender формулирует это прямо: «Since the start of the year, we have observed an increase in MSHTA-related activity». И добавляет важную деталь: легитимное применение MSHTA постепенно сходит на нет, так что рост активности скорее говорит о росте злоупотреблений, а не о «возвращении» админов к HTA.
От LummaStealer до PurpleFox: MSHTA используют и в простых, и в долгих атаках
По наблюдениям Bitdefender, MSHTA встречается в кампаниях разного уровня. Это не история про одну конкретную группировку или один тип заражения. Утилита годится и для быстрых «товарных» заражений, и для более цепких компромиссов, где вредонос закрепляется надолго.
На «простом» конце спектра исследователи видели доставку массовых инфостилеров. В списке упоминаются LummaStealer и Amatera. Рядом — загрузчики, которые подтягивают следующий этап атаки: CountLoader и Emmenthal.
А вот в более «вязких» сценариях Bitdefender связывает MSHTA с установкой инструментов, которые ориентируются на закрепление в системе. В их примерах фигурируют PurpleFox и ClipBanker.
Сама Bitdefender подчеркивает: «This range of abuse highlights why MSHTA continues to matter to defenders: it’s not a single malware family or intrusion model». В переводе на человеческий: MSHTA универсален, поэтому его нельзя списать как редкую экзотику.
Что советуют защитникам: меньше легаси-скриптов, больше слоев защиты
В рекомендациях Bitdefender нет «серебряной пули». Логика стандартная для таких кейсов: снижать поверхность атаки и ловить злоупотребления на уровне поведения.
- Ограничить устаревшие утилиты: где возможно, закрывать или жестко контролировать запуск mshta.exe и wscript.exe.
- Заменять легаси-инструменты: уходить от устаревших скриптовых механизмов в пользу более современных альтернатив, чтобы уменьшить attack surface.
- Следить за скриптовой активностью: использовать средства защиты, которые детектят вредные сценарии и злоупотребления командной строкой.
- Упор на гигиену у пользователей: не скачивать сомнительные файлы и не запускать подозрительные команды.
Полный разбор наблюдений Bitdefender опубликован в их блоге: Microsoft’s MSHTA legacy malware (Windows).
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.
MSHTA в Windows снова используют для атак: Bitdefender фиксирует рост ⚡️