Cyberkriminelle nutzen legitime und mit Vorliebe veraltete Betriebssystemtools, um sie für ihre Zwecke zu missbrauchen und Angriffe zu tarnen. Je vertrauenswürdiger ein Dienstprogramm, umso besser. So beobachten die Bitdefender Labs den kontinuierlichen Exploit des Microsoft-HTML-Application-Host (MSHTA) und verzeichneten in den letzten Monaten eine höhere Frequenz von Angriffsketten, in denen die ausführbare Datei mshta.exe eine Rolle spielt.
Cyberkriminelle nutzen offenbar das veraltete Legacy-Tool, das aber immer noch zum Standardpaket von Windows-Systemen gehört und VBScript sowie Javascript für lokale oder Remote-Dateien ausführt. Sowohl Endverbraucher als auch professionelle Anwender und IT-Administratoren sind durch das per Default verbreitete Dienstprogramm gefährdet.
MSHTA – Professionelle und private Opfer
Auch wenn moderne Alternativen für MSHTA bestehen und das Tool ersetzen, nutzen dennoch zahlreiche professionelle Anwender wie Systemadministratoren oder Software-Entwickler es weiterhin: um etwa Anwender über Updates zu informieren oder einfache Web-Applikationen anzuzeigen, ohne dass ein Browser zu öffnen ist. Damit auch Endnutzer unwissentlich bösartigen Code über das Default-Systemtool herunterladen, nutzen die Angreifer Social-Engineering-Tools und werben mit scheinbaren Software- oder Content-Downloads. Mit solchen Clickfix-Attacken wird das Opfer selbst zum ausführenden Organ, indem es vermeintlich einen Download, tatsächlich jedoch die Attacke startet.
Hacker nutzen das Tool für verschiedene Angriffstechniken, die vom opportunistischen Informationsdiebstahl bis hin zu fortgeschrittenen Bedrohungen reichen. Die Kampagnen starten mehrstufige Fileless-Infektionsketten und verwenden Powershell und HTML-Applikationen (HTA). Mithin Tools, die der Internet-Explorer beziehungsweise die zugehörige Systemkomponente mshta.exe für das Rendern und zur Ausführung von Internetseiten nutzen.
MSHTA, das von vielen Nutzern als überflüssig eingeschätzt wird, bleibt ein beliebtes Tool für Living-off-the-Land (LOTL)-Attacken, die eine im System vorhandene Anwendung missbrauchen. In HTA eingebettete Javascript- und VBScript-Codes erlauben die genehmigte Ausführung von Befehlen unter der Tarnkappe eines legitimen, bekannten und vertrauenswürdigen Dienstes. Angreifer können so ihren Code ausführen, aus der Ferne Payloads übertragen und in das Opfernetz eindringen, ohne verräterische Dateien zu nutzen. Sie können Nutzerkonten kompromittieren, digitalen Finanzbetrug starten, Daten stehlen oder abgreifen und betroffen Systeme breitflächig infizieren.
Die Hacker starten verschiedenste Angriffe mit unterschiedlichen Angriffsketten. Infostealer wie Lummastealer und Amatera oder Malware-Loader wie Countloader and Emmenthal-Loader sind einfache, opportunistische Attacken. Clipbanker oder Purplefox starten fortschrittliche APT-Angriffsmechanismen für einen nachhaltigen Zugriff auf Opfersysteme. Angriffsketten beinhalten die Ausführung von Code, den Missbrauch von Kommandozeilen, In-Memory-Angriffe und das Ausspielen gefährlichen Payloads
Auch wenn die Einsatzszenarien von MSHTA weniger werden, zeigen aber die Ergebnisse die weitere Relevanz des Tools. Eine Abwehr ist zum einem durch gestufte Abwehrtechnologien, zum anderen durch ein sicherheitsbewusstes Verhalten des Nutzers möglich. Um den Einsatz von MSHTA weiter zu reduzieren und es durch neuere Funktionalitäten zu ersetzen, empfiehlt Bitdefender, MSHTA in administrativen Workflows so weit wie möglich zu ersetzen.
Info: Die vollständige Analyse von Bitdefender unter: https://www.bitdefender.com/en-us/blog/labs/microsofts-mshta-legacy-malware-windows.
#Bitdefender
