駭客濫用MSHTA無檔案攻擊(LummaStealer & ClickFix)

Bitdefender 研究報告揭露駭客濫用 Microsoft HTML Application Host(MSHTA)發動無檔案攻擊,2025年起相關惡意活動明顯增加,散布 LummaStealer、ClipBanker、PurpleFox 等惡意程式。

MSHTA 背景

  • 全名:Microsoft HTML Application Host
  • 底層:IE HTML 渲染引擎(IE 已於 2022 年退役)
  • 現狀:仍預設保留於 Windows(企業相容性考量)
  • 風險:微軟官方簽署的合法程式,能直接從網路抓取並執行腳本

兩大攻擊手法

1. 假冒破解軟體

將改名的 MSHTA 執行檔藏在壓縮包內,受害者執行後自動連線駭客伺服器下載惡意 HTA。

2. ClickFix 社交工程

在 Discord 等平台散布假冒 reCAPTCHA 頁面,誘導受害者按 Win+R 開啟執行視窗,貼上預植剪貼簿的惡意 MSHTA 指令執行,全程可能不需下載傳統可執行檔。

散布的惡意程式

惡意程式功能
LummaStealer竊取瀏覽器帳密、加密貨幣資產、登入憑證
Amatera同上類竊資功能
ClipBanker監控剪貼簿,自動替換加密貨幣錢包地址
PurpleFox植入具 Rootkit 能力後門(2018 年起活躍至今)

重要警示

微軟雖已宣布將於 2027 年移除 VBScript,但對 MSHTA 威脅緩解效果有限——駭客只需將腳本改以 JavaScript 撰寫即可繼續攻擊。

來源文章

相關頁面