Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

PT Application Firewall PRO: путь к лидерству

Угрозы меняются — мы уже адаптировались: увеличили производительность, стали быстрее и обеспечили централизованное управление Зарегистрироваться

Копируй, вставляй, теряй деньги. Как старая Windows-утилита помогает грабить владельцев криптовалюты

7036
MSHTA Windows Bitdefender LummaStealer Amatera PurpleFox вредоносное ПО
Копируй, вставляй, теряй деньги. Как старая Windows-утилита помогает грабить владельцев криптовалюты
MSHTA Windows Bitdefender LummaStealer Amatera PurpleFox вредоносное ПО

Незаметный запуск сценария может стать началом большой проблемы.

image

Хакеры всё чаще используют старую утилиту Windows MSHTA как удобный способ запускать вредоносные сценарии на уже заражённых компьютерах. Инструмент появился ещё в эпоху Internet Explorer, но до сих пор входит в состав Windows и даёт злоумышленникам доступ к возможностям, которые давно не должны работать без жёстких ограничений.

MSHTA представили в 1999 году для запуска HTA-приложений, собранных на HTML, VBScript или JScript. Internet Explorer уже ушёл в прошлое, однако mshta.exe остаётся на системах Windows и не получает современных защитных механизмов браузерной песочницы. По данным Bitdefender, в последние месяцы утилиту активно применяют в цепочках атак для доставки вредоносного ПО, кражи данных и запуска удалённых сценариев.

Особенно часто MSHTA встречается в атаках по схеме ClickFix, где жертву убеждают скопировать и выполнить команду под видом проверки, установки бесплатного контента или доступа к нужному файлу. Такой подход встречался в фишинговых сообщениях Discord и на сайтах, маскирующихся под обычные сервисы. Иногда домены выглядят почти легитимно, например, с названиями вроде «google-services» или «memory-scanner», а подозрение вызывает только зона.cc.

Bitdefender связывает использование MSHTA с распространением инфостилеров LummaStealer и Amatera через загрузчик CountLoader. Ещё одна кампания применяла Emmenhtal Loader, который через MSHTA получал и запускал удалённую HTA-нагрузку, после чего разворачивал следующие этапы заражения. Утилита также встречалась в цепочках ClipBanker, подменяющего криптовалютные адреса в буфере обмена, и в атаках, связанных с PurpleFox.

Не каждое обращение к MSHTA указывает на взлом, так как старое корпоративное ПО иногда всё ещё зависит от этой утилиты. Но Bitdefender считает MSHTA лишней поверхностью атаки и советует администраторам по возможности отказаться от неё в рабочих процессах.

Полное удаление MSHTA не решит проблему само по себе. Многие такие атаки держатся на социальной инженерии, запуске скриптов, злоупотреблении командной строкой и загрузке следующих компонентов уже после первого действия пользователя. Поэтому защита должна закрывать не один файл, а всю цепочку, от ограничения опасных сценариев до поведенческого анализа во время выполнения.