Internet Explorerに関連するレガシーWindowsスクリプティングユーティリティが、今もなお現代的なマルウェアキャンペーンで使用されていると、研究者らが述べている。
Microsoftの老朽化した「mshta.exe」ユーティリティは、Internet Explorerからの残存コンポーネントであり、ブラウザ自体がリタイアされてから数年経った今でも、現代的なマルウェアキャンペーンで積極的に悪用され続けています。
Bitdefenderからの新しい調査によると、攻撃者はMicrosoft HTML Application Host(MSHTA)を継続して悪用しており、これはローカルまたはリモートファイルからVBScriptおよびJavaScriptを実行できるビルトインWindowsユーティリティです。
Internet Explorerが2022年にサポートを終了した後も、MSHTAはWindowsシステムにデフォルトでパッケージされており、マルウェア起動のための生存型オフザランド(LOLBIN)バイナリとして使用されています。
「企業がレガシー製品をリタイアしても、そのエコシステムの一部は古いワークフローとエンタープライズの互換性要件をサポートするため、Windowsに何年も存在し続けることができます」と、研究者らはブログ投稿で説明しました。「脅威アクターは信頼できるプリインストールされたWindowsバイナリを頻繁に悪用して悪意のあるコンテンツを実行し、システムに既に存在するソフトウェアに依存しています。」
Microsoftは現在のところこの問題についてコメントしていません。
Bitdefender研究者は、LummaStealerやAmateraなどのコモディティスティーラー、CountLoaderやEmmenhtal Loaderのような多段階ローダー、ClipBankerを含むバンキングトロイの木馬、さらには長年にわたって存在するPurpleFoxマルウェアファミリーに関連する感染チェーン全体にMSHTAが現れることを観察しました。
偽のCAPTCHAとアップデートを通じた感染
Bitdefenderによって分析された最も活動的なクラスタの1つはCountLoaderで、これはMSHTAを使用してLummaStealerとAmateraの感染を配信するHTAベースのローダーです。攻撃者は、被害者に悪意のあるペイロードを実行させるために、偽のソフトウェアダウンロード、クラックされたアプリケーション、SEO中毒されたウェブサイト、およびソーシャルエンジニアリングに依存していました。
被害者はパスワード保護されたアーカイブをダウンロードしました。これには正当に見えるインストーラが含まれていました。しかし、それらをクリックすると、悪意のあるスクリプトがバンドルされた正当なPythonインタープリタが実行され、最終的には名前を変更されたmshta.exeのコピーが起動されました。
そのバイナリはその後、次段階のマルウェア取得用のHTAペイロードをホストするC2インフラストラクチャに接触しました。
「2026年2月後半から、新しいCountLoaderドメインホスティングパターンを観察しました」と、研究者らは指摘しました。「命名規則は同様のままで、正当なサービス名を模倣するドメインを使用していましたが、インフラストラクチャは.vgおよび.gl TLDにシフトしました。例としては、explorer[.]vg、ccleaner[.]gl、およびmicroservice[.]glが含まれます。」
脅威アクターはまた、Discordフィッシングメッセージを通じて配信された偽のCAPTCHA検証ページを悪用するEmmenhtal Loaderキャンペーンを実行していました。被害者は「あなたが人間であることを証明する」という口実のもと、悪意のあるコマンドをWindowsの「ファイル名を指定して実行」ダイアログにコピーするよう騙されました。
MSHTAはメモリ内で難読化されたHTAペイロードを実行してから、PowerShellを起動して追加のマルウェアを取得し、分析された1つのケースではLummaStealerを最終的に配信しました。
消えないレガシーWindowsツール
Bitdefenderの調査結果は、攻撃者が好む複数の要素をチェックするため、MSHTAが引き続き魅力的であることを示唆しています。これらには、Microsoftによって署名されていること、Windowsにプリインストールされていること、メモリ内実行が可能であること、および多くの環境で依然として暗黙的に信頼されていることが含まれます。
他の高度なキャンペーンもこれを採用しました。Bitdefenderは、PurpleFoxがMSHTAを使用して「msiexec」コマンドを起動し、リモートIPアドレスからPNG画像として偽装されたMSIペイロードをダウンロードすることを詳述しました。
PurpleFoxは、インストールされると、永続性、監視、情報盗取、および分散型サービス拒否(DOS)活動が可能なrootkitが有効なバックドアとして動作します。
他の場所では、ClipBankerキャンペーンはHTAローダーを使用してBase64エンコードされたPowerShellコマンドを実行し、正当なWindowsサービスを装ったスケジュール済みタスクを通じて永続性を確立しました。マルウェアは最終的に、被害者のクリップボードにコピーされた暗号通貨ウォレットアドレスをハイジャックしました。
Bitdefenderは、すべてのMSHTA実行が本質的に悪意のあるものとは限らないと注意しています。「検出の大部分は、DriverPackという古いソフトウェアパッケージの更新メカニズムから来ました。これは正式なMicrosoftアップデートチャネルではなく、サードパーティのソースからドライバファイルをダウンロードします」と、研究者らが指摘しました。
しかし、彼らは、バランスが明らかに悪用に向かってシフトしたと主張しています。
