駭客濫用微軟IE時代舊工具MSHTA發動無檔案攻擊
來源: iThome(ID: 532)| 日期: 2026-05-22 URL: https://www.ithome.com.tw/news/176052
摘要
Bitdefender 研究報告指出,駭客濫用 Microsoft HTML Application Host(MSHTA)這個 IE 時代舊工具發動無檔案攻擊(Fileless Attack)。MSHTA 仍預設保留於 Windows,可直接從網路抓取並執行腳本,2025年起相關惡意活動明顯增加。散布的惡意程式包括 LummaStealer、Amatera、ClipBanker、PurpleFox。
MSHTA 背景
- 全名:Microsoft HTML Application Host
- 用途:執行以 VBScript/JavaScript 撰寫的 HTA 應用程式
- 底層:使用 IE 的 HTML 渲染引擎(IE 已於 2022 年退役)
- 現狀:仍預設保留於 Windows(企業相容性考量)
兩大攻擊手法
1. 假冒破解軟體
- 將改名的 MSHTA 執行檔藏在壓縮包內
- 受害者執行後自動連線駭客伺服器下載惡意 HTA
2. ClickFix 社交工程
- 在 Discord 等平台散布假冒 reCAPTCHA 頁面
- 誘導受害者按 Win+R 開啟執行視窗
- 貼上預植剪貼簿的惡意 MSHTA 指令執行
- 全程可能不需下載傳統可執行檔
散布的惡意程式
| 惡意程式 | 功能 |
|---|---|
| LummaStealer | 竊取瀏覽器帳密、加密貨幣資產、登入憑證 |
| Amatera | 同上類竊資功能 |
| ClipBanker | 監控剪貼簿,自動替換加密貨幣錢包地址 |
| PurpleFox | 植入具 Rootkit 能力後門(2018 年起活躍至今) |
重要警示
微軟雖已宣布將於 2027 年移除 VBScript,但對 MSHTA 威脅緩解效果有限——駭客只需將腳本改以 JavaScript 撰寫即可繼續攻擊。
衍生頁面
- 駭客濫用MSHTA無檔案攻擊LummaStealer與ClickFix社交工程 — 攻擊手法概念頁面
- bitdefender — 報告來源