Thought Leadership
Angreifer missbrauchen das alte Windows-Werkzeug MSHTA für lautlose Cyberangriffe. Bitdefender registriert einen drastischen Anstieg der Infektionen.
IT-Sicherheitsanalysten registrieren seit Beginn des Jahres einen drastischen Anstieg von Cyberangriffen, die eine jahrzehntealte Komponente des Windows-Betriebssystems ausnutzen. Im Fokus der Angreifer steht das Dienstprogramm MSHTA (Microsoft HTML Application Host). Cyberkriminelle missbrauchen das legitime, von Microsoft digital signierte Werkzeug als sogenannten „Living-off-the-Land“-Binary (LOLBIN). Dadurch gelingt es ihnen, Schadsoftware unbemerkt an lokalen Sicherheitsfiltern vorbeizuschleusen. Ein aktueller Forschungsbericht des Sicherheitsunternehmens Bitdefender belegt, dass die Aktivität rund um MSHTA-basierte Infektionsketten sprunghaft zugenommen hat. Dies ist auf eine veränderte Taktik der Angreifer und nicht auf eine erneute administrative Nutzung durch Systemadministratoren zurückzuführen.
MSHTA seit 1999 aktiv
Das Hilfsprogramm mshta.exe ist seit dem Jahr 1999 und der Veröffentlichung von Windows 98 Second Edition (SE) sowie des Internet Explorers 5.0 integraler Bestandteil des Microsoft-Betriebssystems. Trotz der offiziellen Einstellung des Internet Explorers im Jahr 2022 verbleibt die ausführbare Datei aus Gründen der Abwärtskompatibilität in allen aktuellen Windows-Versionen und wird unter anderem für den IE-Modus des Edge-Browsers benötigt. Die primäre Aufgabe von MSHTA besteht darin, HTML-Applikationen (HTA-Dateien) auszuführen. Das sind Programme, die in HTML, VBScript oder JavaScript geschrieben sind.
Das inhärente Sicherheitsrisiko resultiert aus der Art der Skriptverarbeitung. Wenn eine HTA-Datei von einem externen, vom Angreifer kontrollierten Server geladen wird, führt MSHTA den darin enthaltenen VBScript- oder JavaScript-Code direkt im flüchtigen Arbeitsspeicher (RAM) aus. Für lokale Sicherheitslösungen und Endpoint-Detection-and-Response-Systeme (EDR) sieht dieser Vorgang oberflächlich wie die reguläre Aktivität einer vertrauenswürdigen, von Microsoft signierten Systemdatei aus. Da der Schadcode direkt im Speicher operiert und die eigentliche Aktivität durch das vertrauenswürdige Binary maskiert wird, schlagen automatisierte Blockierungsmechanismen in vielen Unternehmensinfrastrukturen nicht an.
Infektionsketten über CountLoader und Emmenhtal
Die von Bitdefender dokumentierten Angriffe nutzen hochentwickelte, mehrstufige Lade-Programme (Loaders), um Infostealer auf den Systemen der Opfer zu platzieren. Ein dominierender Infektionscluster basiert auf dem HTA-basierten Werkzeug „CountLoader“, das primär für die Verbreitung der Schadsoftware-Familien „Lumma“ und „Amatera“ eingesetzt wird. Bei dieser Kampagne locken die Angreifer ihre Opfer über manipulierte Social-Media-Beiträge, Direktnachrichten oder über SEO-Poisoning präparierte Webseiten an, die angeblich kostenlose oder gecrackte Software-Releases anbieten.
Sobald der Anwender das vermeintliche Software-Archiv herunterlädt und die Installationsdatei ausführt, startet im Hintergrund ein Python-Interpreter. Das Skript generiert manipulierte Befehlszeilen, die eine umbenannte Version der MSHTA-Datei (beispielsweise als iso2022.exe getarnt) aufrufen. Diese verbindet sich mit der Command-and-Control-Infrastruktur (C2) der Angreifer. In der Praxis nutzten die Täter hierfür primär Domains mit den Endungen .cc, .vg und .gl (wie google-services[.]cc oder ccleaner[.]gl). Der nachgeladene HTA-Payload dekodiert im Anschluss die finale Schadsoftware-Stufe und führt den Infostealer aus. Ein paralleler Strang nutzt den „Emmenhtal Loader“, dessen Verbreitung überwiegend über Phishing-Kampagnen auf der Kommunikationsplattform Discord erfolgt.
Der ClickFix-Trick: Manipulation der Tastatur
Ein technisches Merkmal moderner MSHTA-Kampagnen ist die gezielte Verknüpfung von Social Engineering mit nativen Windows-Funktionen, auch bekannt als „ClickFix“- oder Fake-CAPTCHA-Methode. Die Opfer werden auf Webseiten geleitet, die eine fehlerhafte Ausführung vortäuschen und den Nutzer zu einem vermeintlichen menschlichen Verifizierungsprozess auffordern.
Der Anwender wird dazu verleitet, eine Tastaturkombination auf seinem lokalen System einzugeben. Typischerweise wird das Opfer angewiesen, den Windows-Ausführen-Dialog über die Tastenkombination Win + R zu öffnen, den zuvor automatisch in die Zwischenablage kopierten Schadbefehl mittels Ctrl + V einzufügen und mit Enter zu bestätigen. Durch diesen manuellen Schritt des Nutzers startet die legitime Systemdatei explorer.exe den MSHTA-Prozess mit administrativen Rechten. MSHTA lädt daraufhin ein PowerShell-Skript von einem Remote-Server, das vollständig im Arbeitsspeicher ausgeführt wird, ohne jemals eine physische Skriptdatei auf der lokalen Festplatte abzuspeichern.
Krypto-Diebstahl durch ClipBanker und die Persistenz von PurpleFox
Neben klassischen Infostealern dient MSHTA im Jahr 2026 vermehrt als Einfallstor für spezialisierte Banking-Trojaner und langlebige Rootkits. Die Schadsoftware-Familie „ClipBanker“ nutzt den MSHTA-Prozess als frühen Ausführungsmechanismus. Sobald das System infiziert ist, überwacht die Software permanent die Zwischenablage des infizierten Betriebssystems. Registriert das Programm eine Krypto-Wallet-Adresse, wird diese in Sekundenbruchteilen durch eine Adresse der Angreifer ersetzt, wodurch Überweisungen unbemerkt umgeleitet werden.
Ein komplexeres Verhalten zeigt die Schadsoftware „PurpleFox“, die bereits seit 2018 aktiv ist, ihre Verbreitungswege jedoch kontinuierlich modernisiert. Bei aktuellen Kampagnen instanziiert MSHTA über die Befehlszeile direkt den Windows-Installationsdienst msiexec. Dieser lädt ein präpariertes MSI-Installationspaket herunter, das auf Netzwerkebene als harmlose Grafikdatei mit der Endung .png getarnt ist. Nach dem Download entpackt das System das Paket und installiert das Rootkit, um eine dauerhafte (persistente) Verankerung im Betriebssystem des Opfers zu erzielen.
Empfehlungen zur Schadensminimierung und Abwehrstrategien
Da der Missbrauch von legitimen Systemdateien die Erkennung auf technologischer Ebene erschwert, rücken präventive Sicherheitsstrategien und die Sensibilisierung der Anwender in den Fokus der IT-Verteidigung.
„Die wichtigste Verteidigung gegen diese Art von Angriffen ist das Sicherheitsbewusstsein der Nutzer. Wenn wir die Menschen davon überzeugen können, keine Befehle mehr in ihren Terminals, in der PowerShell und ähnlichen Programmen auszuführen, könnten wir die meisten dieser Probleme lösen. Das Gleiche gilt für das Herunterladen von gecrackten Anwendungen und raubkopierten Spielen. Es besteht eine hohe Wahrscheinlichkeit, dass man sich auf diese Weise infiziert. Ich würde sagen, über 90 % der Angriffe würden am nächsten Tag aufhören, wenn wir einfach aufhören würden, auf diese Attacken hereinzufallen.“
Silviu Stahie, Sicherheitsanalyst bei Bitdefender
Für IT-Abteilungen in Unternehmen reicht reines Benutzertraining jedoch nicht aus. Die Experten betonen, dass eine effektive Verteidigung an mehreren Punkten der Infektionskette ansetzen muss. Als Standardkonfiguration (Default Stance) in Unternehmensnetzwerken wird das vollständige Blockieren von alten, nicht mehr zwingend benötigten System-Binärdateien wie mshta.exe empfohlen. Sofern keine kritischen, historischen Legacy-Anwendungen im Firmennetzwerk explizit auf MSHTA angewiesen sind, sollte der Zugriff für reguläre Endanwender softwareseitig und über die zentralen Firewall-Regeln komplett gesperrt werden, um die Angriffsfläche präventiv zu minimieren.
