Windows LOLBIN: MSHTA
A Bitdefender kutatása szerint a Microsoft HTML Application Host továbbra is az egyik legaktívabban kihasznált Windows LOLBIN, annak ellenére, hogy az Internet Explorer hivatalosan már évekkel ezelőtt megszűnt. Az mshta.exe eredetileg HTML Application fájlok futtatására készült, és képes VBScript- illetve JavaScript-kódot végrehajtani közvetlenül Windows-környezetben, sandbox nélkül. Ez különösen vonzóvá teszi a támadók számára, mert Microsoft által aláírt, legitim binárisként sok környezetben implicit bizalmat élvez.
A Bitdefender szerint 2026 eleje óta jelentősen nőtt az mshta.exe megjelenése malware-fertőzési láncokban. A támadók tipikusan multi-stage, fileless execution láncokban használják, az MSHTA távoli HTA payloadot tölt le és futtat memóriában, majd PowerShell-, JavaScript- vagy .NET-komponenseket indít. Ez minimalizálja a diszken megjelenő artefaktokat és megnehezíti az EDR-detektálást.
A kutatás szerint az MSHTA ma már gyakorlatilag minden malware-kategóriában megjelent. Commodity stealer kampányokban LummaStealer és Amatera payloadokat terjesztenek vele, gyakran CountLoader vagy Emmenhtal Loader segítségével. Ezek a kampányok jellemzően SEO poisoningra, hamis szoftverletöltésekre és ClickFix jellegű pszichológiai megtévesztésre épülnek. A fertőzött archive-okban gyakran legitim Python interpreter (Setup.exe) és obfuszkált Python script található, amely egy átnevezett MSHTA binárist indít – például iso2022.exe néven.
A Bitdefender fejlettebb kampányokat is azonosított. A PurpleFox operátorai például MSHTA-ból indítanak msiexec folyamatokat, amelyek PNG-fájlnak álcázott MSI payloadokat töltenek le. Más kampányokban ClipBanker malware-ek használták az MSHTA-t korai payload executionre és persistence kialakítására. Az Emmenhtal Loader esetében a támadók Discord phishinget és hamis CAPTCHA-oldalakat használtak: a felhasználó egy clipboardba másolt PowerShell parancsot futtatott, amely memóriában indította az MSHTA-láncot.
A Bitdefender hangsúlyozza, hogy az MSHTA problémája túlmutat magán az eszközön. A Microsoft továbbra is fenntartja számos legacy komponens kompatibilitását – például az IE Mode-ot Edge-ben –, ezért az ilyen régi binárisok még évekig jelen lehetnek Windows rendszereken. Miközben a VBScript 2027-re várhatóan alapértelmezetten letiltásra kerül, az mshta.exe eltávolításáról egyelőre nincs nyilvános terv.
