Устаревшая утилита Microsoft «mshta.exe», наследие Internet Explorer, продолжает активно использоваться в кампаниях вредоносного ПО. Исследование Bitdefender показывает, что злоумышленники злоупотребляют MSHTA для запуска VBScript и JavaScript, используя этот LOLBIN-файл в Windows. — csoonline.com
Устаревшая утилита Microsoft «mshta.exe», оставшаяся от Internet Explorer, до сих пор активно используется в современных кампаниях по распространению вредоносного ПО спустя годы после того, как сам браузер был выведен из эксплуатации.
Согласно новому исследованию компании Bitdefender, злоумышленники продолжают злоупотреблять Microsoft HTML Application Host (MSHTA) — встроенной утилитой Windows, способной выполнять VBScript и JavaScript из локальных или удаленных файлов.
Несмотря на то что Internet Explorer официально прекратил свое существование в 2022 году, MSHTA по умолчанию предустановлена в системах Windows и используется как бинарный файл из категории «живущий за счет земли» (LOLBIN) для запуска вредоносного ПО.
«Даже когда компании выводят из эксплуатации устаревшие продукты, части их экосистемы могут сохраняться в Windows годами для поддержки старых рабочих процессов и требований корпоративной совместимости», — пояснили исследователи в записи в блоге. «Злоумышленники часто злоупотребляют доверенными, предустановленными бинарными файлами Windows для выполнения вредоносного контента, полагаясь на уже имеющееся в системе ПО».
Microsoft не предоставила немедленных комментариев по этому вопросу.
Исследователи Bitdefender зафиксировали появление MSHTA в цепочках заражений, связанных с распространенными стилерами, такими как LummaStealer и Amatera, многоступенчатыми загрузчиками вроде CountLoader и Emmenhtal Loader, банковскими троянами, включая ClipBanker, и даже давно существующим семейством вредоносного ПО PurpleFox.
Заражения через поддельные CAPTCHA и обновления
Один из наиболее активных кластеров, проанализированных Bitdefender, был связан с CountLoader — загрузчиком на базе HTA, который использовал MSHTA для доставки заражений с LummaStealer и Amatera. Злоумышленники полагались на поддельные загрузки ПО, взломанные приложения, сайты с отравленным SEO и социальную инженерию, чтобы заманить жертв на выполнение вредоносных полезных нагрузок.
Жертвы загружали архивы с паролем, содержащие выглядящие легитимными установщики. Но нажатие на них запускало легитимный интерпретатор Python, содержащий вредоносные скрипты, которые в конечном итоге запускали переименованную копию mshta.exe.
Затем бинарный файл связывался с C2-инфраструктурой, на которой размещались HTA-полезные нагрузки для получения вредоносного ПО следующего этапа.
«Начиная с конца февраля 2026 года мы наблюдали новую схему хостинга доменов CountLoader», — отметили исследователи. «Соглашение об именовании оставалось схожим: использовались домены, имитирующие названия легитимных сервисов, но инфраструктура сместилась в сторону доменных зон .vg и .gl. Примеры включают explorer[.]vg, ccleaner[.]gl и microservice[.]gl».
Злоумышленники также проводили кампании Emmenhtal Loader, которые использовали поддельные страницы верификации CAPTCHA, распространяемые через фишинговые сообщения в Discord. Жертв обманом заставляли вводить вредоносные команды в диалоговое окно «Выполнить» Windows под предлогом «докажи, что ты человек».
MSHTA выполняла обфусцированные HTA-полезные нагрузки в памяти, прежде чем запустить PowerShell для загрузки дополнительного вредоносного ПО, в одном из проанализированных случаев в конечном итоге доставляя LummaStealer.
Устаревший инструмент Windows, который не желает умирать
Выводы Bitdefender говорят о том, что MSHTA остается привлекательной, поскольку она соответствует нескольким критериям, которые нравятся злоумышленникам. К ним относятся наличие подписи Microsoft, предустановка в Windows, возможность выполнения в памяти и сохранение неявного доверия во многих средах.
Его также подхватили и другие изощренные кампании. Bitdefender подробно описала, как PurpleFox использовал MSHTA для запуска команд ‘msiexec’, которые загружали MSI-полезные нагрузки, маскирующиеся под изображения PNG с удаленных IP-адресов.
PurpleFox, будучи однажды установленным, функционирует как бэкдор с руткитом, способный обеспечивать постоянство, наблюдение, кражу информации и активность распределенного отказа в обслуживании (DOS).
В других случаях кампании ClipBanker использовали HTA-загрузчики для выполнения команд PowerShell, закодированных в Base64, которые обеспечивали постоянство через запланированные задачи, маскирующиеся под легитимные службы Windows. В конечном итоге вредоносное ПО перехватывало адреса криптовалютных кошельков, скопированных в буфер обмена жертв.
Bitdefender предупредила, что не каждое выполнение MSHTA является по своей сути вредоносным. «Значительная часть обнаружений пришлась на механизм обновления DriverPack — более старый пакет программного обеспечения, который загружает файлы драйверов из сторонних источников, а не через официальные каналы обновлений Microsoft», — указали исследователи.
Тем не менее, они утверждают, что баланс явно сместился в сторону злоупотреблений.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma