駭客濫用微軟IE時代舊工具MSHTA發動無檔案攻擊

來源: iThome(ID: 532)| 日期: 2026-05-22 URL: https://www.ithome.com.tw/news/176052

摘要

Bitdefender 研究報告指出,駭客濫用 Microsoft HTML Application Host(MSHTA)這個 IE 時代舊工具發動無檔案攻擊(Fileless Attack)。MSHTA 仍預設保留於 Windows,可直接從網路抓取並執行腳本,2025年起相關惡意活動明顯增加。散布的惡意程式包括 LummaStealer、Amatera、ClipBanker、PurpleFox。

MSHTA 背景

  • 全名:Microsoft HTML Application Host
  • 用途:執行以 VBScript/JavaScript 撰寫的 HTA 應用程式
  • 底層:使用 IE 的 HTML 渲染引擎(IE 已於 2022 年退役)
  • 現狀:仍預設保留於 Windows(企業相容性考量)

兩大攻擊手法

1. 假冒破解軟體

  • 將改名的 MSHTA 執行檔藏在壓縮包內
  • 受害者執行後自動連線駭客伺服器下載惡意 HTA

2. ClickFix 社交工程

  • 在 Discord 等平台散布假冒 reCAPTCHA 頁面
  • 誘導受害者按 Win+R 開啟執行視窗
  • 貼上預植剪貼簿的惡意 MSHTA 指令執行
  • 全程可能不需下載傳統可執行檔

散布的惡意程式

惡意程式功能
LummaStealer竊取瀏覽器帳密、加密貨幣資產、登入憑證
Amatera同上類竊資功能
ClipBanker監控剪貼簿,自動替換加密貨幣錢包地址
PurpleFox植入具 Rootkit 能力後門(2018 年起活躍至今)

重要警示

微軟雖已宣布將於 2027 年移除 VBScript,但對 MSHTA 威脅緩解效果有限——駭客只需將腳本改以 JavaScript 撰寫即可繼續攻擊。

衍生頁面