Опубликовано: 21.05.2026г.

Эксперты предупреждают об использовании устаревшего инструмента Microsoft для атак вредоносного ПО

Специалисты по кибербезопасности отмечают рост числа атак, использующих легитимный компонент операционной системы Windows — Microsoft HTML Application Host (MSHTA). Этот инструмент, предназначенный для выполнения HTML-приложений, все чаще становится вектором для внедрения похитителей данных и загрузчиков вредоносного кода.

Особенности работы MSHTA

Утилита MSHTA была разработана для запуска легких административных приложений в формате HTA. В отличие от обычных веб-страниц, открывающихся в браузере, такие файлы взаимодействуют с операционной системой напрямую и могут выполнять скрипты с повышенными привилегиями. В современных условиях легитимное использование этой функции практически сошло на нет, поэтому любая активность, связанная с MSHTA, с высокой вероятностью является злонамеренной.

Масштаб угрозы

По данным аналитиков Bitdefender, начиная с 2026 года наблюдается заметная активизация киберпреступников, эксплуатирующих этот инструмент. Злоумышленники используют MSHTA для реализации как простых, так и сложных многоуровневых атак:

  • Распространение стандартных похитителей конфиденциальной информации (инфостилеров), таких как LummaStealer и Amatera.
  • Использование вредоносных загрузчиков, включая CountLoader и Emmenthal.
  • Развертывание продвинутых инструментов для закрепления в системе, например, зловреда PurpleFox и банковских троянов ClipBanker.

Рекомендации по защите

Специалисты подчеркивают, что MSHTA остается универсальным инструментом для хакеров, так как позволяет проводить как массовые автоматизированные атаки, так и целевые взломы с длительным присутствием в сети. Для снижения рисков организациям предлагаются следующие меры:

  • Ограничение использования утилит mshta.exe и wscript.exe в корпоративной среде.
  • Переход на современные альтернативы для выполнения скриптов, чтобы сократить площадь возможной атаки.
  • Внедрение многоуровневых систем защиты, способных детектировать подозрительную активность скриптов и несанкционированное использование командной строки.
  • Повышение осведомленности пользователей о рисках запуска непроверенных файлов и ввода подозрительных команд.

Comments are closed.

Рекомендую к прочтению: