Windows-Urgestein MSHTA: Cyberkriminelle missbrauchen Microsoft-Tool massiv

Ein 27 Jahre altes Windows-Programm wird zur zentralen Waffe im Cyberkrieg. Sicherheitsforscher schlagen Alarm.

Die Angriffe auf Unternehmen und Privatanwender nehmen dramatisch zu. Im Zentrum steht ein unscheinbares Systemprogramm: mshta.exe, der Microsoft HTML Application Host. Bitdefender Labs und McAfee Labs dokumentierten einen massiven Anstieg missbräuchlicher Nutzung – und das ausgerechnet durch eine Technik, die auf die Internet-Explorer-Ära zurückgeht.

Während Hacker gezielt Schwachstellen in alten Windows-Komponenten ausnutzen, lässt sich das Risiko durch einen Wechsel auf ein aktuelles, sichereres System minimieren. Dieser kostenlose Expertenreport zeigt Ihnen, wie der Umstieg auf Windows 11 ohne Datenverlust gelingt. Stressfreien Wechsel auf Windows 11 jetzt entdecken

Warum vertraute Software zur Gefahr wird

Das Prinzip ist perfide: Statt eigener Schadsoftware nutzen Hacker legitime Windows-Komponenten. Diese sogenannten „Living-off-the-Land"-Binaries (LOLBINs) tarnen Angriffe als normale Systemaktivität. MSHTA ist dafür ideal: Das 1999 eingeführte Programm führt HTML, VBScript und JScript aus – und ist bis heute in Windows enthalten, vor allem für den Internet-Explorer-Modus im Edge-Browser.

Der entscheidende Vorteil für Angreifer: MSHTA ist von Microsoft digital signiert. Das Betriebssystem und viele Sicherheitsprogramme vertrauen der Komponente blind. So können Hacker Schadcode direkt im Arbeitsspeicher ausführen, ohne dass klassische Virenscanner anschlagen. Moderne Sandbox-Schutzmechanismen, wie sie aktuelle Browser bieten, fehlen bei MSHTA komplett.

Bitdefender-Analysten schätzen, dass nur noch rund zehn Prozent der MSHTA-Aktivitäten auf legitime administrative Aufgaben entfallen. Der Rest gehört zu mehrstufigen Malware-Kampagnen.

Die neue Masche: „ClickFix" und geklaute Filme

Besonders perfide ist die „ClickFix"-Methode, die aktuell auf Plattformen wie Discord kursiert. Opfer landen auf gefälschten „Mensch-oder-Maschine"-Seiten. Der Haken: Beim Klick auf „Verifizieren" kopiert ein JavaScript einen komplexen Befehl in die Zwischenablage. Die Seite fordert dann auf, die Windows-Ausführen-Dialogbox zu öffnen und den Befehl einzufügen – der prompt MSHTA startet und einen Schadcode nachlädt.

Ein weiterer Infektionsweg: Raubkopien. Sicherheitsforscher entdeckten eine Welle von Angriffen über eine geklaute Version des Films „One Battle After Another". Im Archiv verbarg sich ein getarnter Python-Interpreter und eine als Systemkomponente getarnte MSHTA-Datei. Nach der Ausführung kontaktierten die Skripte Server der Angreifer und luden weitere Schadsoftware nach.

Die Infektionsketten sind modular aufgebaut. MSHTA dient oft als Zwischenlader, der ein HTA-File ausführt, das wiederum PowerShell-Skripte startet. Diese laufen komplett im Arbeitsspeicher, deaktivieren die Antimalware-Scan-Schnittstelle (AMSI) und liefern erst dann die eigentliche Schadsoftware aus.

LummaStealer, PurpleFox und die 86.000 infizierten Rechner

Die Palette der zugespielten Schädlinge ist breit. Zwei besonders aktive Familien heißen LummaStealer und Amatera. Sie stehlen Browser-Passwörter, Kryptowährungs-Wallets und Sitzungstoken. In einer groß angelegten Kampagne infizierte der Lader CountLoader rund 86.000 Rechner weltweit – auf dem Höhepunkt verbargen sich alle 60 Sekunden 5.000 infizierte Systeme mit den Kommando-Servern.

Noch gefährlicher: PurpleFox. Die Betreiber dieser Schadsoftware nutzen MSHTA, um Installer zu starten, die als Bilddateien getarnt sind. Am Ende steht ein Rootkit-fähiger Hintertür-Zugang, der ferngesteuerte Befehle und DDoS-Angriffe ermöglicht. Auch ClipBanker, ein auf Kryptowährungen spezialisierter Diebstahl-Schädling, setzt auf MSHTA für die frühe Ausführungsphase.

Die Angreifer-Infrastruktur setzt auf Typosquatting-Domains mit Endungen wie .cc, .vg oder .gl. Namen wie „google-services" oder „memory-scanner" sollen Opfer in die Irre führen. Bitdefender konnte viele dieser Domains zwar abschalten, doch die Täter rotieren ihre Adressen ständig.

Das Dilemma der Verteidiger

Das Problem für Sicherheitsteams: MSHTA lässt sich nicht einfach blockieren. Viele Unternehmen brauchen die Komponente noch für legitime Altanwendungen, etwa Anmeldeskripte oder Systemmeldungen. Ein pauschales Verbot würde Geschäftsprozesse lahmlegen.

Die Experten raten daher zu einem Paradigmenwechsel: Weg von dateibasierten Signaturen, hin zu verhaltensorientierter Überwachung. Konkret bedeutet das: Alarm, wenn mshta.exe unerwartete Netzwerkverbindungen aufbaut oder Dateien ohne die Standard-Endung .hta ausführt. Zudem empfehlen Analysten strenge Anwendungssteuerungsrichtlinien, die MSHTA und ähnliche Legacy-Utilities nur für berechtigte Nutzer und Prozesse freigeben.

Neben der Absicherung von Systemprogrammen ist der Schutz vor unbemerkt installierter Spionage-Software für die PC-Sicherheit entscheidend. Ein kostenloser Experten-Report zeigt Ihnen, wie Sie Ihren Rechner in wenigen Schritten effektiv vor Viren und Hackern schützen. Gratis Anti-Virus-Paket für Ihren PC-Schutz anfordern

Ausblick: Microsoft zieht die Notbremse – aber langsam

Microsoft hat bereits reagiert. Die Abschaltung von VBScript wurde für die zweite Jahreshälfte 2024 angekündigt, zunächst als optionales Feature. Der aktuelle Zeitplan sieht vor, dass die Komponente 2027 standardmäßig deaktiviert und später komplett aus Windows entfernt wird.

Bis dahin, warnen Sicherheitsexperten, bleibt MSHTA ein bevorzugtes Werkzeug – für einfache Cyberkriminelle ebenso wie für staatlich gesteuerte Angreifer. Die Möglichkeit, beliebigen Code durch ein vertrauenswürdiges Systemprogramm auszuführen, bietet eine Tarnung, die mit eigener Schadsoftware kaum zu erreichen ist.

Bis Microsoft die Altlast endgültig entsorgt, liegt der Schutz vor allem in den Händen der Nutzer: Keine Befehle aus dem Internet in die Ausführen-Dialogbox kopieren – und Unternehmen sollten in moderne Endpoint-Detection-Systeme investieren, die verdächtige Verhaltensmuster in Echtzeit erkennen.

de | wissenschaft | 69382853 |