Kibernetički kriminalci sve češće koriste legitiman, ali naslijeđen alat iz operativnog sustava Windows kako bi neometano distribuirali zlonamjerni softver za krađu informacija i učitavače (loadere), upozoravaju istraživači. U novom izvješću tvrtke Bitdefender navodi se kako je od početka 2026. godine zabilježen značajan porast aktivnosti povezanih s alatom poznatim kao Microsoft HTML Application Host (MSHTA). Riječ je o legitimnoj komponenti sustava Windows koja izvršava posebne datoteke temeljene na HTML-u, poznate kao HTA datoteke. Za razliku od uobičajenih web stranica koje se otvaraju unutar sigurnosnog okruženja preglednika, HTA datoteke imaju sposobnost izravne interakcije s operativnim sustavom, što im omogućuje pokretanje skripti s povišenim privilegijama, otvarajući tako vrata raznim zlouporabama.
MSHTA je stari alat, izvorno osmišljen za izvršavanje laganih administrativnih zadataka i jednostavnih aplikacija na radnoj površini, no kao i mnogi drugi naslijeđeni alati, postao je omiljena meta napadača. Oni ga iskorištavaju za pokretanje zlonamjernih skripti, preuzimanje dodatnog štetnog softvera ili zaobilaženje sigurnosnih kontrola koje bi inače blokirale takve aktivnosti. “S obzirom na to da legitimna upotreba ovog alata postupno nestaje, ovaj trend vjerojatno odražava porast zlonamjernih aktivnosti, a ne ponovno usvajanje u administrativne svrhe”, istaknuli su iz Bitdefendera. Napadi često počinju metodama socijalnog inženjeringa, pri čemu se korisnike navodi da preuzmu lažni softver, otvore zlonamjerne privitke u e-pošti ili posjete kompromitirane web stranice. Jedna od zabilježenih tehnika je takozvani “ClickFix”, gdje se od žrtve traži da kopira i pokrene zlonamjernu naredbu kako bi navodno riješila nepostojeći problem ili prošla CAPTCHA provjeru.
Analizirane aktivnosti obuhvaćaju širok spektar prijetnji, od relativno jednostavnih do vrlo složenih i postojanih kampanja. Na jednostavnijem kraju spektra, MSHTA se masovno koristi za isporuku popularnih kradljivaca informacija, kao što su LummaStealer i Amatera, koji ciljaju na krađu lozinki, podataka o kreditnim karticama i drugih osjetljivih informacija pohranjenih u preglednicima i na računalu. Također služi kao vektor za takozvane učitavače, poput CountLoadera ili Emmenthala, čija je jedina svrha preuzimanje i instaliranje dodatnog, često puno opasnijeg zlonamjernog softvera na zaraženi sustav. Ova svestranost čini MSHTA izuzetno korisnim alatom u ranim fazama napada, omogućujući kriminalcima da uspostave početno uporište prije nego što krenu u daljnje akcije.
Kada je riječ o naprednijim i dugotrajnijim prijetnjama, istraživači su primijetili da se isti alat koristi za implementaciju sofosticiranog softvera kao što je ClipBanker, bankarski trojanac koji krade kriptovalute presretanjem transakcija, te PurpleFox, moćan alat koji napadačima omogućuje dugotrajan i skriven pristup zaraženom sustavu. “Ovaj raspon zlouporabe naglašava zašto je MSHTA i dalje važan za obrambene timove: ne radi se o jednoj vrsti zlonamjernog softvera ili modelu napada. On ostaje koristan u cijelom spektru, od oportunističke isporuke do dugotrajne kompromitacije”, pojasnili su stručnjaci. Ovaj pristup dio je šireg trenda poznatog kao “Living-off-the-Land” (LOLBIN), gdje napadači koriste legitimne, već postojeće alate na sustavu kako bi izbjegli detekciju antivirusnih programa koji su često fokusirani na prepoznavanje novih, nepoznatih datoteka.
Kako se obraniti od napada
Kako bi se obranile od napada koji se oslanjaju na MSHTA, organizacijama se preporučuje kombinacija tehničkih mjera i edukacije korisnika. Podizanje svijesti zaposlenika ključno je kako bi izbjegavali preuzimanje nepouzdanih datoteka ili izvršavanje sumnjivih naredbi. Istovremeno, tvrtke bi trebale primijeniti višeslojne sigurnosne kontrole i implementirati sigurnosne alate sposobne za otkrivanje zlonamjernih skripti i zlouporabe naredbenog retka. Bitdefender također preporučuje ograničavanje ili potpuno blokiranje izvršavanja alata poput mshta.exe i wscript.exe gdje god je to moguće, kao i zamjenu zastarjelih skriptnih alata modernim i sigurnijim alternativama kako bi se smanjila ukupna površina napada.
Problem zlouporabe naslijeđenih alata naglašava stalni izazov s kojim se suočavaju sigurnosni stručnjaci: održavanje sigurnosti u okruženjima koja moraju podržavati starije komponente radi kompatibilnosti sa starim sustavima. Dok Microsoft planira postupno ukinuti podršku za VBScript do 2027. godine, što bi trebalo smanjiti rizik, MSHTA će do tada ostati prisutan i funkcionalan. U međuvremenu, kibernetički kriminalci nastavit će iskorištavati takve “duhove prošlosti” za izvođenje vrlo modernih i učinkovitih napada, pokazujući da u svijetu kibernetičke sigurnosti i najzastarjeliji alat može postati opasno oružje u pravim rukama.
