Threats
A Bitdefender detetou um aumento da utilização do MSHTA em ataques de malware. A ferramenta legítima do Windows é usada para distribuir stealers, loaders e malware persistente
20/05/2026
|
A ferramenta Microsoft HTML Application (MSHTA), presente no Windows desde 1999, está a ser cada vez mais explorada por atacantes como Living-off-the-Land Binary (LOLBIN). A Bitdefender indica que a atividade associada ao MSHTA aumentou desde o início do ano, refletindo maior adoção por grupos de ameaça. O MSHTA foi criado para executar ficheiros HTML Application (HTA), desenvolvidos em HTML, VBScript ou JavaScript. Quando usado de forma abusiva, pode executar scripts remotos em memória, dificultando a deteção por soluções de segurança, uma vez que a atividade aparenta partir de um binário legítimo e assinado pela Microsoft. Segundo a Bitdefender, a ferramenta permite recuperar e executar conteúdos remotos nas fases iniciais ou intermédias da cadeia de infeção. Os ataques começam, em muitos casos, com Phishing, falsas páginas de Software gratuito ou aplicações pirateadas. Entre as campanhas observadas está a utilização do HTA CountLoader para distribuir os stealers Lumma e Amatera. As vítimas são atraídas por mensagens, publicações em redes sociais ou sites manipulados por SEO poisoning, que prometem Software gratuito ou versões crackeadas. A empresa também identificou campanhas com o loader Emmenhtal, iniciadas através de mensagens no Discord. Nestes casos, os utilizadores são induzidos a executar comandos no Windows Run, após uma falsa verificação humana. O processo acaba por lançar o MSHTA e descarregar scripts PowerShell em memória. Outras campanhas analisadas envolveram o ClipBanker, usado para substituir endereços de carteiras de criptomoedas na área de transferência, e o PurpleFox, uma família de Malware persistente ativa desde 2018. Silviu Stahie, Security Analyst da Bitdefender, defende que a sensibilização dos utilizadores continua a ser essencial, em particular para evitar a execução de comandos desconhecidos e o download de Software pirateado. A mitigação deve incluir formação, mas também controlos técnicos. A Bitdefender recomenda a redução da superfície de ataque, deteção antes da execução e bloqueio comportamental em runtime. Em ambientes empresariais, o bloqueio de binários legados como o MSHTA deve ser a regra, exceto quando existam aplicações críticas que ainda dependam da ferramenta. |
Receba todas as novidades na sua caixa de correio!
THREATS
Nova falha ‘Dirty Flag’ em Linux pode já estar a ser explorada
THREATS
CNCS alerta para falha crítica no Linux
NEWS
Palo Alto Networks divulga agenda e parceiros do Innovation Day Lisbon
NEWS
Google deteta primeiro zero-day criado com IA
THREATS
Novo malware Quasar Linux visa programadores
THREATS
Falha crítica no Outlook permite ataques sem interação do utilizador
THREATS
Novo ataque Shai-Hulud compromete centenas de pacotes npm e PyPI
THREATS
SAP corrige falhas críticas no S/4HANA e Commerce
THREATS
Apple corrige falhas críticas nos sistemas operativos
THREATS
Falha no Claude para Chrome permite controlo da IA
