レガシーWindowsユーティリティであるMicrosoft HTML Application Host(MSHTA)を悪用したサイバー攻撃が急増しており、攻撃者はそれをLiving-off-the-Land binary(LOLBIN)として悪用し、VBScriptとJavaScriptを実行し続けています。
この信頼されたデフォルトアプリケーションを悪用することで、サイバー犯罪者はセキュリティ制御を回避し、基本的なパスワード盗聴ツールから高度な永続的脅威まで、幅広いマルウェアを展開します。
2027年にVBScriptをデフォルトで無効化するというMicrosoftの計画にもかかわらず、MSHTAは依然として非常に効果的なステージングメカニズムのままです。
最近のテレメトリデータは、MSHTAが被害者を騙して感染を開始させるためにソーシャルエンジニアリングに依存する、多段階のファイルレス実行チェーンに大きく関与していることを示しています。
脅威アクターは、LummaStealerやAmateraなどの汎用情報盗聴ツールを配信するためにMSHTAを使用することがますます増えています。その主な手段の1つはCountLoaderで、これはHTAベースのローダーであり、偽のソフトウェアダウンロード内に自身を偽装します。
被害者は正規のソフトウェアまたは海賊版メディアのように見えるものをダウンロードするよう誘い込まれます。
提供されたアーカイブには、名前を変更されたMSHTAバイナリを実行する隠された悪意のあるPythonスクリプトが含まれています。
このバイナリはコマンド・アンド・コントロール(C2)ドメインに接触します。これは.cc、.vg、または.glトップレベルドメインを使用して正規のサービスに偽装されることが多く、次のペイロードを取得します。
同様に、Emmenhtalローダーは「ClickFix」ソーシャルエンジニアリング戦術を通じてMSHTAを利用します。攻撃者はDiscordなどのプラットフォームを介して悪意のあるリンクを配布し、ユーザーを偽のreCAPTCHA検証ページに誘導します。
ユーザーが検証をクリックすると、悪意のあるJavaScriptがPowerShellコマンドをクリップボードにコピーします。
その後、ページはユーザーにWindowsの実行ダイアログを開いてコマンドを貼り付けるよう指示し、MSHTAをメモリ内で直接実行します。
これにより、Antimalware Scan Interface(AMSI)をバイパスしてLummaStealerペイロードをドロップする、高度に難読化されたPowerShellスクリプトが起動されます。
翻訳元: https://cyberpress.org/mshta-abuse-delivers-malware/
