MSHTA-malwareattacker blir allt vanligare när cyberkriminella utnyttjar Microsofts legitima mshta.exe-verktyg för att leverera skadliga payloads på Windows-system. Säkerhetsforskare varnar för att angripare använder den betrodda Windows-komponenten för att kringgå säkerhetslösningar, köra fjärrskript och starta malware med lägre upptäcktsrisk.
Tekniken har blivit populär i phishingkampanjer och företagsintrång eftersom mshta.exe är en Microsoft-signerad binärfil som redan finns installerad på de flesta Windows-enheter.
Angripare Utnyttjar mshta.exe För Att Sprida Malware
Forskare uppgav att angripare fortsätter använda mshta.exe för att köra skadliga HTA-filer och fjärrskript under Windows-infektioner. Det legitima Windows-verktyget hanterar normalt HTML Applications, men hotaktörer missbrukar det allt oftare för att starta malware utan traditionella körbara filer.
De senaste MSHTA-malwareattackerna använde enligt uppgifter phishingmejl, skadliga bilagor och farliga länkar för att lura användare att köra fjärrpayloads. Efter aktivering kunde attackerna distribuera lösenordsstjälande malware, fjärråtkomsttrojaner, ransomware-loaders och ytterligare skadliga komponenter.
Säkerhetsanalytiker förklarade att angripare föredrar mshta.exe eftersom många säkerhetsverktyg identifierar processen som legitim Windows-aktivitet. Det gör det lättare för skadlig aktivitet att smälta in bland normala systemprocesser.
Forskare observerade också hur angripare använder obfuskerade skript och externa URL:er för att dölja payloads från säkerhetssystem. I flera fall laddade malware ned sekundära payloads först efter kontakt med angriparkontrollerad infrastruktur.
Living-off-the-Land-Tekniker Fortsätter Växa
Ökningen av MSHTA-malwareattacker speglar den bredare tillväxten av så kallade living-off-the-land-tekniker inom modern cyberbrottslighet. I stället för att enbart använda specialutvecklad malware missbrukar angripare legitima Windows-verktyg som redan finns installerade på system.
Cyberkriminella använder ofta verktyg som PowerShell, mshta.exe, rundll32.exe och regsvr32.exe för att köra skadliga kommandon samtidigt som de minskar risken för upptäckt. Forskare varnar för att dessa metoder gör hotjakt och incidenthantering betydligt svårare.
Living-off-the-land-attacker förekommer särskilt ofta i ransomwarekampanjer, phishingoperationer och spionageintrång riktade mot företagsmiljöer. Betrodda Windows-binärer kringgår ofta enklare säkerhetsfilter och strikt applikationskontroll.
Forskare noterade också att både ekonomiskt motiverade cyberkriminella och statligt kopplade hotgrupper fortsätter utöka användningen av legitima administrationsverktyg under attacker.
Säkerhetsteam Möter Stora Upptäcktsproblem
De senaste MSHTA-malwareattackerna visar de växande utmaningar som säkerhetsteam möter när de övervakar legitima systemprocesser. Eftersom mshta.exe är en legitim Microsoft-binärfil kan total blockering störa äldre program och interna affärssystem.
Säkerhetsexperter rekommenderar därför övervakning av ovanliga child-processer, misstänkt nätverkstrafik och onormal skriptkörning kopplad till mshta.exe. Forskare uppmanade också organisationer att stänga av onödig skriptfunktionalitet där det är möjligt.
Skydd mot phishing utgör fortfarande ett viktigt försvarslager eftersom många attacker fortfarande bygger på social engineering för att få användare att öppna skadliga filer eller länkar.
Moderna endpoint-säkerhetsplattformar fokuserar allt mer på beteendeanalys i stället för enkel signaturbaserad upptäckt. Living-off-the-land-attacker undviker ofta att placera traditionella malwarefiler på infekterade system, vilket gör beteendeövervakning betydligt viktigare.
Slutsats
MSHTA-malwareattacker fortsätter öka när cyberkriminella missbrukar Microsofts betrodda mshta.exe-verktyg för att leverera smygande Windows-payloads och kringgå säkerhetssystem. Forskare varnar för att legitima Windows-binärer fortsätter vara värdefulla verktyg för angripare som vill genomföra tystare och mer flexibla intrång.
Ökningen av living-off-the-land-tekniker visar också hur moderna cyberattacker allt oftare använder legitima systemkomponenter i stället för lättupptäckt malware. Organisationer kan därför behöva starkare beteendeövervakning och striktare skriptkontroller för att minska riskerna kring dessa växande attackmetoder.
0 svar till ”MSHTA-malwareattacker Utnyttjar Betrott Windows-verktyg”