駭客濫用MSHTA無檔案攻擊(LummaStealer & ClickFix)
Bitdefender 研究報告揭露駭客濫用 Microsoft HTML Application Host(MSHTA)發動無檔案攻擊,2025年起相關惡意活動明顯增加,散布 LummaStealer、ClipBanker、PurpleFox 等惡意程式。
MSHTA 背景
- 全名:Microsoft HTML Application Host
- 底層:IE HTML 渲染引擎(IE 已於 2022 年退役)
- 現狀:仍預設保留於 Windows(企業相容性考量)
- 風險:微軟官方簽署的合法程式,能直接從網路抓取並執行腳本
兩大攻擊手法
1. 假冒破解軟體
將改名的 MSHTA 執行檔藏在壓縮包內,受害者執行後自動連線駭客伺服器下載惡意 HTA。
2. ClickFix 社交工程
在 Discord 等平台散布假冒 reCAPTCHA 頁面,誘導受害者按 Win+R 開啟執行視窗,貼上預植剪貼簿的惡意 MSHTA 指令執行,全程可能不需下載傳統可執行檔。
散布的惡意程式
| 惡意程式 | 功能 |
|---|---|
| LummaStealer | 竊取瀏覽器帳密、加密貨幣資產、登入憑證 |
| Amatera | 同上類竊資功能 |
| ClipBanker | 監控剪貼簿,自動替換加密貨幣錢包地址 |
| PurpleFox | 植入具 Rootkit 能力後門(2018 年起活躍至今) |
重要警示
微軟雖已宣布將於 2027 年移除 VBScript,但對 MSHTA 威脅緩解效果有限——駭客只需將腳本改以 JavaScript 撰寫即可繼續攻擊。
來源文章
相關頁面
- bitdefender — 報告發布機構
- microsoft — MSHTA 工具所屬公司