駭客濫用微軟IE時代舊工具MSHTA發動無檔案攻擊

MSHTA全名為Microsoft HTML Application Host，是1990年代末期微軟為了讓開發者用網頁語法製作桌面程式而推出的工具，用以執行以VBScript或JavaScript撰寫的HTA（HTML Application）應用程式檔案。其底層使用的是Internet Explorer的HTML渲染引擎與腳本執行環境，雖然IE瀏覽器已於2022年退役，但MSHTA仍預設保留於Windows中。微軟保留此類舊工具，主要是為了支援既有工作流程與企業相容性。

不過，資安業者Bitdefender發現，今年起MSHTA相關惡意活動明顯增加。由於MSHTA是微軟官方簽署的合法程式，系統對其天生信任，加上它能直接從網路抓取並執行腳本，且部分攻擊鏈可在記憶體中執行，減少磁碟痕跡，使其成為駭客眼中的理想跳板工具。

駭客主要透過兩種方式將惡意HTA送進受害者電腦。其一是假冒破解軟體，將改名的MSHTA執行檔藏在壓縮包內，受害者點擊安裝後，程式便偷偷連線至駭客伺服器下載惡意HTA執行。

其二是ClickFix手法，攻擊者在Discord等平臺散布假冒reCAPTCHA驗證頁面，誘導受害者按下Win+R開啟執行視窗，再將預先植入剪貼簿、用以呼叫MSHTA的惡意指令貼上送出。全程可能不需下載傳統可執行檔，也增加安全產品偵測難度。

駭客透過上述手法散布各種惡意程式，包括專門竊取瀏覽器帳密、加密貨幣資產及登入憑證的LummaStealer與Amatera；專門監控剪貼簿，以於受害者複製加密貨幣錢包地址的瞬間自動替換為駭客的錢包地址的ClipBanker；或者是可植入具備Rootkit能力之後門程式，自2018年活躍至今的PurpleFox。

值得注意的是，微軟雖已宣布將於2027年移除VBScript，但此舉對MSHTA的威脅緩解效果有限。由於MSHTA同時支援VBScript與JavaScript，駭客只需將攻擊腳本從VBScript改以JavaScript撰寫，即可繼續透過MSHTA發動攻擊。