- Bitdefenderがレガシーなmshtaユーティリティの悪用増加を報告、インフォスティーラーとローダーマルウェアの配信に使用されている
- キャンペーンはLummaStealerのような単純なコモディティ脅威からPurpleFoxのような高度な永続的ツールまで広範囲に及んでいる
- 防御者は廃止予定のスクリプティングユーティリティを制限し、悪意のあるスクリプト活動を検出するための階層化されたセキュリティ制御を導入することを求められている
サイバー犯罪者が正規の廃止予定Windowsツールを使用してインフォスティーラーとローダーマルウェアを配信するために利用していると、研究者は述べている。
新しいBitdefender レポートでは、2026年の開始以来、Microsoft HTML Application Host(MSHTA)というWindowsユーティリティに関連するアクティビティが急増していると主張している。これはHTAsとして知られる特別なHTMLベースのアプリケーションファイルを実行する正規のユーティリティである。
通常のウェブページはブラウザで開かれますが、HTAファイルはWindowsオペレーティングシステムと直接対話でき、昇格された権限でスクリプトを実行することができます。
シンプルで複雑な脅威
MSHTAは軽量なデスクトップおよび管理タスク用に元々設計された古いツールですが、他の多くのレガシーツールと同様に、悪意のあるスクリプトを実行したり、マルウェアをダウンロードしたり、セキュリティ制御をバイパスするために悪用されています。
「年の初めから、MSHTA関連の活動の増加を観察してきました」とBitdefenderは述べた。「このユーティリティの正当な使用が徐々に減少していることを考えると、このトレンドは管理上の再採用というより、悪意のある活動の増加を反映している可能性が高いです。」
研究者が分析したアクティビティは複数のマルウェアカテゴリーにまたがっており、彼らはシンプルなキャンペーンとより複雑なキャンペーンの両方を目撃したと説明している。「シンプル」な側では、MSHTAはAmateraやLummaStealerなどのコモディティ型インフォスティーラーを配信するために広く使われている。CountLoaderやEmmenthalなどのローダーにも使用されている。
より高度で永続的な脅威に関しては、Bitdefenderは犯罪者がClipBankerとPurpleFoxを展開するのを確認した。
「この悪用の範囲は、なぜMSHTAが防御者にとって今も重要なのかを浮き彫りにしています。これは単一のマルウェアファミリーや侵入モデルではありません」と彼らは説明した。「機会的なマルウェア配信から長期の侵害まで、スペクトラム全体で有用なままです。」
MSHTA ベースの攻撃から防御するために、組織はユーザー認識と階層化されたセキュリティ制御の両方を確保する必要があると述べられている。ユーザーは信頼されていないファイルのダウンロードや疑わしいコマンドの実行を避けるべきであり、組織は悪意のあるスクリプトまたはコマンドラインの悪用を検出できるセキュリティツールを導入すべきである。
同社はまた、可能な限りmshta.exeやwscript.exeなどのユーティリティを制限し、攻撃対象領域を減らすために廃止されたスクリプティングツールを最新の代替品に置き換えることを推奨している。
