Bitdefender
Malware-Kampagnen in Windows über das Legacy-Internet-Tool MSHTA von Microsoft.
Cyberkriminelle nutzen legitime und mit Vorliebe veraltete Betriebssystemtools, um sie für ihre Zwecke zu missbrauchen und Angriffe zu tarnen. Je vertrauenswürdiger ein Dienstprogramm, umso besser. So beobachten die Bitdefender Labs den kontinuierlichen Exploit des Microsoft HTML Application Host (MSHTA) und verzeichneten in den letzten Monaten eine höhere Frequenz von Angriffsketten, in denen die ausführbare Datei mshta.exe eine Rolle spielt.
Zusammenfassung (TL; DR):
- Cyberkriminelle missbrauchen zunehmend das veraltete, aber in Windows standardmäßig integrierte Systemtool MSHTA (mshta.exe) für sogenannte Living-off-the-Land (LOTL)-Angriffe.
- Über gefälschte Downloads und Social-Engineering-Tricks (ClickFix) bringen die Angreifer sowohl Privatnutzer als auch IT-Administratoren dazu, unbemerkt schädlichen JavaScript- oder VBScript-Code im System auszuführen.
- Diese dateilosen Infektionsketten tarnen sich als legitime Prozesse und ermöglichen es Hackern, sensible Daten zu stehlen, Finanzbetrug zu begehen oder Schadsoftware wie Infostealer und Malware-Loader einzuschleusen.
Cyberkriminelle nutzen offenbar das veraltete Legacy-Tool, das aber immer noch zum Standardpaket von Windows-Systemen gehört und VBScript sowie JavaScript für lokale oder Remote-Dateien ausführt. Sowohl Endverbraucher als auch professionelle Anwender und IT-Administratoren sind durch das per Default verbreitete Dienstprogramm gefährdet.
Professionelle und private Opfer
Auch wenn moderne Alternativen für MSHTA bestehen und das Tool ersetzen, nutzen dennoch zahlreiche professionelle Anwender wie Systemadministratoren oder Software-Entwickler es weiterhin: um etwa Anwender über Updates zu informieren oder einfache Web-Applikationen anzuzeigen, ohne dass ein Browser zu öffnen ist. Damit auch Endnutzer unwissentlich bösartigen Code über das Default-Systemtool herunterladen, nutzen die Angreifer Social-Engineering Tools und werben mit scheinbaren Software- oder Content-Downloads. Mit solchen ClickFix-Attacken wird das Opfer selbst zum ausführenden Organ, indem es vermeintlich einen Download, tatsächlich jedoch die Attacke startet.
Hacker nutzen das Tool für verschiedene Angriffstechniken, die vom opportunistischen Informationsdiebstahl bis hin zu fortgeschrittenen Bedrohungen reichen. Die Kampagnen starten mehrstufige Fileless-Infektionsketten und verwenden PowerShell und HTML-Applikationen (HTA). Mithin Tools, die der Internet Explorer beziehungsweise die zugehörige Systemkomponente mshta.exe für das Rendern und zur Ausführung von Internetseiten nutzen.
MSHTA, das von vielen Nutzern als überflüssig eingeschätzt wird, bleibt ein beliebtes Tool für Living-off-the-Land (LOTL)-Attacken, die eine im System vorhandene Anwendung missbrauchen. In HTA eingebettete JavaScript- und VBScript-Codes erlauben die genehmigte Ausführung von Befehlen unter der Tarnkappe eines legitimen, bekannten und vertrauenswürdigen Dienstes. Angreifer können so ihren Code ausführen, aus der Ferne Payloads übertragen und in das Opfernetz eindringen, ohne verräterische Dateien zu nutzen. Sie können Nutzerkonten kompromittieren, digitalen Finanzbetrug starten, Daten stehlen oder abgreifen und betroffen Systeme breitflächig infizieren.
Die Hacker starten verschiedenste Angriffe mit unterschiedlichen Angriffsketten. Infostealer wie LummaStealer und Amatera oder Malware-Loader wie CountLoader and Emmenhtal Loader sind einfache, opportunistische Attacken. ClipBanker oder PurpleFox starten fortschrittliche APT-Angriffsmechanismen für einen nachhaltigen Zugriff auf Opfersysteme. Angriffsketten beinhalten die Ausführung von Code, den Missbrauch von Kommandozeilen, In-Memory-Angriffe und das Ausspielen gefährlichen Payloads
Auch wenn die Einsatzszenarien von MSHTA weniger werden, zeigen aber die Ergebnisse die weitere Relevanz des Tools. Eine Abwehr ist zum einem durch gestufte Abwehrtechnologien, zum anderen durch ein sicherheitsbewusstes Verhalten des Nutzers möglich. Um den Einsatz von MSHTA weiter zu reduzieren und es durch neuere Funktionalitäten zu ersetzen, empfiehlt Bitdefender, MSHTA in administrativen Workflows so weit wie möglich zu ersetzen.
