Bitdefender ha publicado una nueva investigación que documenta cómo los ciberdelincuentes siguen aprovechando MSHTA, una herramienta heredada de Microsoft incluida por defecto en Windows, para distribuir malware mediante cadenas de ataque sigilosas y multietapa.
Aunque Internet Explorer dejó de tener soporte hace años, MSHTA continúa habilitada por defecto en sistemas Windows y sigue siendo explotada activamente para ejecutar scripts maliciosos, descargar contenido malicioso desde servidores remotos y evadir mecanismos de detección utilizando procesos legítimos firmados por Microsoft. La investigación revela además un aumento reciente de la actividad vinculada a MSHTA, lo que sugiere un incremento de su uso malicioso mientras su utilización legítima continúa disminuyendo.
Entre los principales hallazgos destacan:
- El uso de MSHTA para distribuir silenciosamente distintas familias de malware, entre ellas LummaStealer, Amatera, ClipBanker, PurpleFox y CountLoader
- El empleo de cadenas de ataque sin archivos (fileless) y multietapa, basadas en scripts HTA, PowerShell y ejecución directa en memoria para eludir herramientas tradicionales de detección
- El aumento del uso de señuelos tipo ClickFix, falsos procesos de verificación y supuestas descargas de software diseñadas para inducir a los usuarios a ejecutar malware manualmente
- La identificación por parte de Bitdefender de nuevos patrones de infraestructura asociados a campañas de CountLoader, incluyendo dominios .vg y .gl observados recientemente
- El abuso de MSHTA tanto en campañas masivas de distribución de malware como en amenazas más sofisticadas orientadas al sigilo, la persistencia y el control prolongado de sistemas comprometidos
La investigación pone de relieve cómo componentes heredados de Windows siguen representando un riesgo tanto para usuarios particulares como para organizaciones
