изображение: recraft
Эксперты Bitdefender зафиксировали рост атак через Microsoft HTML Application Host, он же MSHTA. Это легитимная, но сильно возрастная утилита Windows, которой злоумышленники пользуются для запуска вредоносных скриптов, загрузки инфостилеров и обхода защитных средств. С начала 2026 года активность вокруг MSHTA заметно подросла, и исследователи связывают это не с возвращением утилиты в нормальную админскую практику, а с расширением вредоносных кампаний.
MSHTA запускает специальные HTML-приложения с расширением HTA. Обычные веб-страницы открываются в браузере, а вот HTA-файлы умеют напрямую общаться с операционной системой и выполнять скрипты с повышенными возможностями. Для атакующих это почти ретро-гаджет из старого ящика Windows, который до сих пор умеет неприятно удивлять.
Задумывался MSHTA под простые настольные и административные задачи. Но судьба многих старых системных компонентов в корпоративной среде давно напоминает сюжет технотриллера. То, что раньше помогало администраторам автоматизировать рутину, теперь идёт в ход для запуска скриптов, скачивания вредоносов и попыток проскочить мимо защитных решений. В Bitdefender отметили, что легитимное применение утилиты постепенно сходит на нет, поэтому всплеск событий вокруг неё выглядит сигналом о росте злоупотреблений.
Изученная активность охватила сразу несколько типов вредоносного ПО. В простых кампаниях MSHTA пускают в дело так:
- для распространения инфостилеров Amatera и LummaStealer;
- эти программы охотятся за данными пользователей, учётками, токенами и паролями;
- собранное затем продают или используют для дальнейшего проникновения.
Рядом с MSHTA встречаются и загрузчики CountLoader и Emmenthal, которые подтягивают на устройство новые вредоносные модули.
Дело не ограничивается раздачей стилеров. В более сложных и долгоживущих атаках исследователи Bitdefender нашли применение ClipBanker и PurpleFox. Первый класс угроз обычно перехватывает данные из буфера обмена, что опасно при работе с платёжной информацией и криптокошельками. PurpleFox давно известен как вредоносная платформа со скрытым присутствием и возможностями дальнейшего распространения. MSHTA тут работает не как случайный вспомогательный инструмент, а как удобная дверь сразу на разные уровни атаки.
Любопытно, что широта злоупотреблений показывает проблему крупнее, чем кажется. MSHTA не привязан к одному семейству вредоносов или одной модели проникновения.
Утилита полезна самым разным операторам. От тех, кто массово рассылает вредоносные файлы, до тех, кто строит долгое присутствие в системе. Для защитников комбинация неприятная. Старый легитимный компонент не объявишь вредоносным просто так, но его запуск в неправильном контексте вполне может стать первым шагом к серьёзной компрометации.
Чтобы прикрыть атаки на базе MSHTA, организациям советуют сочетать обучение людей и многоуровневые средства защиты. От пользователей требуется немного:
- не запускать сомнительные файлы;
- не выполнять подозрительные команды;
- не доверять документам и ссылкам из неизвестных источников.
Компаниям нужны решения, которые видят вредоносные скрипты, странные командные строки и нетипичное поведение системных утилит. Без этого атака легко маскируется под обычный запуск легитимного компонента Windows.
Ещё Bitdefender рекомендует по возможности урезать применение mshta.exe и wscript.exe. Когда эти инструменты не нужны в рабочих процессах, их лучше закрывать политиками безопасности или менять на более современные средства автоматизации.
Стоит обратить внимание, что чем меньше старых исполняемых компонентов доступно в корпоративной среде, тем уже пространство для атак.
В мире, где злоумышленники любят жить за счёт встроенных инструментов Windows, даже небольшая чистка наследия заметно усложняет им работу.
Раньше сообщалось, что русскоязычная группа Secret Blizzard переписала старый бэкдор Kazuar и превратила его в модульный P2P-ботнет. Новая версия рассчитана на:
- долгое присутствие в заражённых сетях;
- скрытую коммуникацию между машинами;
- сбор файлов, писем, скриншотов и нажатий клавиш.
Microsoft предупреждала, что ловить Kazuar стало куда сложнее, ведь заражённым машинам больше не нужно всем вместе стучаться на управляющий сервер. Картина хорошо ложится в общий тренд, где старые инструменты и давние техники получают вторую жизнь после аккуратной доработки.
Также ранее Microsoft дала пользователям Windows 11 право самим решать, когда ставить обновления. Прежде знакомство с новым компьютером начиналось не с работы, а с ожидания патчей. Процесс мог тянуться до 30 минут, а первичная настройка растягивалась почти до 40 минут. В 2026 году Microsoft изменила порядок, и теперь человек сам выбирает, установить обновления сразу или отложить.
Эксперты редакции CISOCLUB уверены, что проблема MSHTA лежит не в самой утилите, а в привычке корпоративных сетей годами таскать за собой устаревшее наследие. Пока старые компоненты висят включёнными по умолчанию, атакующим не нужно ничего изобретать — за них уже всё сделала сама Windows.
Оригинал публикации на сайте CISOCLUB: "Старый инструмент Windows снова стал любимой игрушкой хакеров распространении вредоносного ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.