Устаревшая утилита Microsoft MSHTA остаётся любимым инструментом киберпреступников: новые кампании со стилерами и загрузчиками

Почему же утилита, созданная для административных задач и совместимости со старым браузером, до сих пор востребована у киберпреступников? Ответ кроется в её уникальных свойствах. MSHTA - это штатный, подписанный компанией Microsoft двоичный файл, который по умолчанию присутствует на любой системе с Windows. Он может выполнять скрипты на VBScript и JavaScript прямо из интернета или локального файла, не сохраняя их на диск. С точки зрения атакующего, это идеальный инструмент: не нужно загружать собственные вредоносные исполняемые файлы, которые легко заметить антивирусу. Всё происходит в памяти, легитимный процесс Microsoft не вызывает подозрений. Такая тактика в среде специалистов по безопасности получила название Living off the Land (дословно - "жизнь за счёт земли"), то есть использование встроенных доверенных средств системы для ведения атаки. Каждый раз, когда администратор или пользователь запускает скрипт через MSHTA, он действует от имени доверенного процесса, и различить добросовестное администрирование и скрытое заражение становится крайне трудно.

Специалисты Bitdefender в своём отчёте детально разобрали несколько крупных кампаний, где MSHTA играет ключевую роль на начальных этапах заражения. Одна из самых заметных - доставка стилера LummaStealer через загрузчик CountLoader. Злоумышленники распространяли архивы с якобы бесплатным или взломанным программным обеспечением, используя методы SEO-отравления и рекламу в социальных сетях. Внутри архива находился легитимный интерпретатор Python, который при запуске загружал подменённую библиотеку, а та запускала скопированную рядом утилиту mshta.exe. MSHTA, в свою очередь, соединялась с сервером управления (C2) на доменах, имитирующих известные сервисы (например, google-services[.]cc, memory-scanner[.]cc), и загружала HTA-скрипт, который раскручивал многоступенчатую цепочку: Base64-декодирование, выполнение PowerShell-команд, загрузка и запуск финального вредоносного файла в памяти. Пик этой активности пришёлся на конец января 2026 года, после чего злоумышленники переключились на другие доменные зоны.

Не менее интересна кампания Emmenhtal Loader, где пользователей заманивали с помощью техники ClickFix. Жертва получала в Discord ссылку на страницу, внешне напоминающую капчу от Google (reCAPTCHA). Под видом проверки "Я не робот" пользователю предлагали нажать сочетание клавиш Win+R, затем Ctrl+V и Enter. В буфер обмена уже была скопирована команда, запускающая mshta.exe с аргументом, указывающим на удалённый HTA-файл. Как только пользователь выполнял эти действия (обычно будучи уверенным, что проходит рутинную верификацию), в системе запускалась многоступенчатая загрузка стилера или загрузчика. Исследователи отмечают, что такие страницы быстро блокируются хостинг-провайдерами, но их всё равно успевают обнаружить и проанализировать.

Даже продвинутые угрозы не брезгуют этой устаревшей утилитой. Семейство PurpleFox, известное с 2018 года и остающееся активным в 2026-м, использует MSHTA для запуска установщика MSI, замаскированного под PNG-файл. Команда содержит mshta.exe, который через VBScript запускает цикл по списку IP-адресов, каждый раз пытаясь скачать и выполнить msi-пакет. После установки PurpleFох ведёт себя как руткит: скрывает своё присутствие в системе, обеспечивает постоянное закрепление и может выполнять любые команды с сервера управления, включая кражу данных и проведение DDoS-атак. Ещё один тип угроз - ClipBanker, троян для кражи криптовалют. Он подменяет адреса кошельков в буфере обмена. MSHTA здесь выступает первым звеном: из удалённого HTA-скрипта запускается PowerShell, который загружает следующие стадии, добавляет исключения в Защитник Windows и создаёт задачи по расписанию, маскируясь под системные службы.

Для организаций и обычных пользователей последствия могут быть серьёзными. Даже если атака начинается с безобидного на первый взгляд запуска легаси-утилиты, она быстро перерастает в кражу учётных данных, сессионных токенов и криптовалютных средств. Более того, после закрепления в системе злоумышленники могут получить доступ к корпоративной сети, что грозит утечкой коммерческой информации и остановкой бизнес-процессов. Следует помнить, что Microsoft уже объявила о постепенном отказе от VBScript: с 2027 года компонент будет отключён по умолчанию, а затем полностью удалён из Windows. Однако для MSHTA пока нет официальных планов по удалению, а значит, эта брешь в защите сохранится ещё на годы.

Как защититься? Прежде всего, стоит ограничить использование mshta.exe с помощью политик AppLocker или Windows Defender Application Control, разрешив его запуск только для узкого круга доверенных администраторов. Пользователей необходимо регулярно предупреждать об опасности выполнения команд из непроверенных источников, особенно через сочетания клавиш, которые редко ассоциируются с угрозой. На уровне сети и конечных точек эффективны системы обнаружения аномалий (EDR), способные выявить подозрительную активность mshta.exe, например обращение к неизвестным доменам или запуск PowerShell из его контекста. Наконец, стоит постепенно мигрировать с устаревших скриптовых методов на современные средства автоматизации, такие как PowerShell 7 или Configuration Manager, чтобы сократить поверхность атаки. Только сочетание технических мер контроля и повышения осведомлённости персонала способно снизить риски от эксплуатации древних, но всё ещё смертоносных инструментов.

IPv4

• 100.1.121.27
• 103.113.195.244
• 103.115.17.90
• 103.36.223.87
• 103.55.70.212
• 103.83.212.194
• 107.175.187.11
• 110.42.51.229
• 110.45.196.155
• 122.165.219.142
• 156.224.232.98
• 157.66.153.154
• 173.208.166.226
• 185.208.159.199
• 187.102.48.229
• 190.111.12.242
• 193.112.70.226
• 201.138.238.195
• 204.44.110.216
• 222.73.29.92
• 58.221.252.210
• 60.173.116.152
• 61.136.101.152
• 61.147.108.92
• 87.96.21.84
• 89.117.2.159

Domains

• acio-patron.cc
• alpha-centavr.cc
• alphazero1-endscape.cc
• azure-s3-bucket.cc
• bigbrainsholdings.com
• ccleaner.gl
• communicationfirewall-security.cc
• critical-service.cc
• debank-api.cc
• deluxe.gl
• domain-monitoring.cc
• explorer.vg
• fileless-market.cc
• fileless-storage-s3.cc
• files-storage.cc
• forest-entity.cc
• geo-foundation.vg
• globalsnn1-new.cc
• globalsnn2-new.cc
• globalsnn3-new.cc
• google-services.cc
• hardware-office.cc
• health-smooth-eu2.com
• health-smooth-eu3.com
• hell10-kitty.cc
• hell1-kitty.cc
• hell2-kitty.cc
• hell3-kitty.cc
• hell4-kitty.cc
• hell5-kitty.cc
• hell6-kitty.cc
• hell7-kitty.cc
• hell8-kitty.cc
• hell9-kitty.cc
• holiday-forever.cc
• holiday-updateservice.com
• holypriest.gl
• hosting-control.cc
• immortal-service.cc
• indeanapolice.cc
• memory-protection-layer1.cc
• memory-scanner.cc
• microservice.gl
• microservice-update-s1-bucket.cc
• microservice-update-s2-bucket.cc
• msedge.vg
• msgrouppolicy.vg
• ms-team-ping6.com
• my-smart-house1.com
• network-defender.cc
• offshore-storage.cc
• parent-control.cc
• polystore9-servicebucket.cc
• py-installer.cc
• s10-microservice-updatehub.cc
• s1-microservice-updatehub.cc
• s2-microservice-updatehub.cc
• s3-microservice-updatehub.cc
• s3-updatehub.cc
• s4-microservice-updatehub.cc
• s5-microservice-updatehub.cc
• s6-microservice-updatehub.cc
• s7-microservice-updatehub.cc
• s8-microservice-updatehub.cc
• s9-microservice-updatehub.cc
• sentinel1-endpoint-security.cc
• silverhost.vg
• some-othertag.cc
• system-monitor.cc
• urugvai.cc
• web3-walletnotify.cc

URLs

• http://185.147.124.40/Capcha.html
• http://92.255.57.155/Capcha.html
• http://us1.somepools555.pw/win/checking.hta
• https://antibot-check.icu/Capcha.html
• https://asd.s7610rir.pw/win/checking.hta
• https://asq.d6shiiwz.pw/win/hssl/d6.hta
• https://buck2nd.oss-eu-central-1.aliyuncs.com/dir/sixth/singl6.mp4
• https://check.qlkwr.com/awjsx.captcha?u=03cb013e-aa4a-439e-86af-c3319c7b5dc0
• https://checkpageonce.com/singl6.mp4
• https://d1.pool4883.pw/win/hssl/r7.hta
• https://denek.local-wanderer.shop/RIWZ.mp4
• https://driftcharm.shop/S6.mp4
• https://echoicedeals.shop/s6.mp3
• https://etrademart.shop/s6.mp3
• https://kizmond.shop/riiw1.mp4
• https://klipjaqemiu.shop/web44.mp4
• https://macphotoeditor.shop/singl5.mp4
• https://macphotoeditor.shop/singl6.mp4
• https://onceletthemcheck.com/singl5.mp4
• https://pawpaws.readit-carfanatics.com/madonna.mp4
• https://propofgustestyle.info/recaptcha-verify.html
• https://recaptcha-process.com/recaptcha-verify.html
• https://retrosome.shop/ru2-2.eml
• https://savecoupons.store/s7.mp4
• https://scrutinycheck.cash/singl5.mp4
• https://simplerwebs.space/anrek.mp4
• https://simplerwebs.world/mine.json
• https://solve.gevaq.com/awjxs.captcha?u=a1bdaa0d-6aab-4d96-bafe-483ef5eb8cae
• https://solve.jenj.org/awjxs.captcha?u=8508de42-23ab-4b24-aa95-eda5feae86e8
• https://thepremiumstuffs.shop/s5.mp4
• https://topofsuper.shop/re5.mp4
• https://triptrip.melody-wave.shop/re2.mp4

SHA256

• 02630fa994b1566ad1515fd87220fc037b967f07495985a3637d68d7e08c57ee
• 1e0e375f3ee82d5af5dfe6f7df0e2fac9a7d37c67add3390d05a93afd85b7c84
• 333e2192f2551415659fb4094e81b911708921bb588eecf65e27f51c9938dfc2
• 38fe562136ade372fc4cedde67826aeea8404e93a54a4a4736ddb4c8c8d4c96d
• 7d0487afc91b0fe8b2fbf732ab54c3c07e86bf69471bba6c283aabea190499ba
• aa845a8fb4ab38aebe6a16a2a8f80ca4467ac0991d3eef4d8a10bdf97dedb1e9