MSHTA-malwareangrep blir stadig vanligere etter hvert som cyberkriminelle misbruker Microsofts legitime mshta.exe-verktøy til å levere skadelige payloads på Windows-systemer. Sikkerhetsforskere advarer om at angripere bruker den betrodde Windows-komponenten for å omgå sikkerhetsløsninger, kjøre fjernskript og starte malware med lavere risiko for oppdagelse.
Teknikken har blitt populær i phishingkampanjer og bedriftsinnbrudd fordi mshta.exe er en Microsoft-signert binærfil som allerede finnes installert på de fleste Windows-enheter.
Angripere Misbruker mshta.exe Til Å Spre Malware
Forskere opplyste at angripere fortsetter å bruke mshta.exe til å kjøre skadelige HTA-filer og fjernskript under Windows-infeksjoner. Det legitime Windows-verktøyet håndterer normalt HTML Applications, men trusselaktører misbruker det stadig oftere til å starte malware uten tradisjonelle kjørbare filer.
De nyeste MSHTA-malwareangrepene brukte angivelig phishing-e-poster, skadelige vedlegg og farlige lenker for å lure brukere til å starte fjernpayloads. Etter aktivering kunne angrepene distribuere passordstjelende malware, fjernstyringstrojanere, ransomware-loadere og andre skadelige komponenter.
Sikkerhetsanalytikere forklarte at angripere foretrekker mshta.exe fordi mange sikkerhetsverktøy identifiserer prosessen som legitim Windows-aktivitet. Det gjør det enklere for skadelig aktivitet å gli inn blant normale systemprosesser.
Forskere observerte også hvordan angripere bruker obfuskerte skript og eksterne URL-er for å skjule payloads fra sikkerhetssystemer. I flere tilfeller lastet malware ned sekundære payloads først etter kontakt med angriperkontrollert infrastruktur.
Living-off-the-Land-Teknikker Fortsetter Å Vokse
Økningen i MSHTA-malwareangrep gjenspeiler den bredere veksten av såkalte living-off-the-land-teknikker innen moderne cyberkriminalitet. I stedet for å basere seg utelukkende på spesialutviklet malware misbruker angripere legitime Windows-verktøy som allerede finnes på systemene.
Cyberkriminelle bruker ofte verktøy som PowerShell, mshta.exe, rundll32.exe og regsvr32.exe til å kjøre skadelige kommandoer samtidig som de reduserer sjansen for oppdagelse. Forskere advarer om at disse metodene gjør trusseljakt og hendelseshåndtering betydelig vanskeligere.
Living-off-the-land-angrep forekommer spesielt ofte i ransomwarekampanjer, phishingoperasjoner og spionasjeangrep rettet mot bedriftsmiljøer. Betrodde Windows-binærfiler omgår ofte enklere sikkerhetsfiltre og streng applikasjonskontroll.
Forskere påpekte også at både økonomisk motiverte cyberkriminelle og statstilknyttede trusselgrupper fortsetter å utvide bruken av legitime administrasjonsverktøy under angrep.
Sikkerhetsteam Møter Store Oppdagelsesutfordringer
De nyeste MSHTA-malwareangrepene viser de voksende utfordringene sikkerhetsteam møter når de overvåker legitime systemprosesser. Siden mshta.exe er en legitim Microsoft-binærfil, kan full blokkering forstyrre eldre programmer og interne forretningssystemer.
Sikkerhetseksperter anbefaler derfor overvåking av uvanlige child-prosesser, mistenkelig nettverkstrafikk og unormal skriptkjøring knyttet til mshta.exe. Forskere oppfordret også organisasjoner til å deaktivere unødvendig skriptfunksjonalitet der det er mulig.
Beskyttelse mot phishing er fortsatt et viktig forsvarslag fordi mange angrep fortsatt er avhengige av social engineering for å få brukere til å åpne skadelige filer eller lenker.
Moderne endpoint-sikkerhetsplattformer fokuserer stadig mer på atferdsanalyse i stedet for enkel signaturbasert oppdagelse. Living-off-the-land-angrep unngår ofte å plassere tradisjonelle malwarefiler på infiserte systemer, noe som gjør atferdsovervåking langt viktigere.
Konklusjon
MSHTA-malwareangrep fortsetter å øke etter hvert som cyberkriminelle misbruker Microsofts betrodde mshta.exe-verktøy til å levere skjulte Windows-payloads og omgå sikkerhetssystemer. Forskere advarer om at legitime Windows-binærfiler fortsatt er verdifulle verktøy for angripere som ønsker stillere og mer fleksible innbrudd.
Økningen av living-off-the-land-teknikker viser også hvordan moderne cyberangrep i stadig større grad bruker legitime systemkomponenter i stedet for lett oppdagbar malware. Organisasjoner kan derfor trenge sterkere atferdsovervåking og strengere skriptkontroller for å redusere risikoen knyttet til disse voksende angrepsmetodene.
0 svar til “MSHTA-malwareangrep Misbruker Et Betrodd Windows-verktøy”