MSHTA existiert seit 1999 und ist fester Bestandteil jeder Windows-Version – ursprünglich für die Ausführung von HTML-Anwendungen konzipiert. Doch während die legitime Nutzung kontinuierlich gesunken ist, exploitieren Angreifer das Tool gezielt als sogenannte “Living-off-the-Land Binary” (LOLBIN), um unbemerkt Malware einzuschleusen.
Die Funktionsweise ist perfide: MSHTA kann HTA-Dateien (HTML Application) ausführen, die in HTML, VBScript oder JavaScript geschrieben sind. Wird eine solche Datei von einem externen Server geladen, kann sie VBScript im Speicher ausführen – ohne dass auf dem lokalen System sichtbar wird, was tatsächlich passiert. Das System sieht nur die vertrauenswürdige, von Microsoft signierte Binärdatei, nicht den bösartigen Code im Hintergrund. Diese Täuschung macht automatische Blockierungen extrem schwierig.
Bitdefender hat mehrere konkrete Angriffsketten dokumentiert: Bei der “CountLoader”-Kampagne werden Opfer über Social Media oder SEO-manipulierte Websites mit Versprechungen auf kostenlose Software gelockt. Ein ausführbares Setup-File entpuppt sich als Python-Interpreter, das dann alle notwendigen Skripte und eine MSHTA-Executable lädt. Von dort aus folgt eine Infektionskette: Das HTA-Loader-Skript ruft die eigentliche Malware ab – häufig die Stehler “Lumma” oder “Amatera”, die Passwörter und persönliche Daten stehlen.
Auch der “Emmenhtal Loader” wurde beobachtet: Hier beginnt der Angriff mit Phishing-Nachrichten auf Discord. Die Opfer werden auf eine Seite gelockt, die die Zwischenablage manipuliert und sie zu falschen “Verifikationen” verleitet – schließlich sollen sie Win + R drücken, dann Ctrl + V und Enter, um einen PowerShell-Befehl auszuführen. Das Ergebnis: MSHTA lädt einen PowerShell-Script im Speicher, ohne Spuren auf der Festplatte zu hinterlassen.
Noch gefährlicher sind Kampagnen mit dem Malware-Toolkit “PurpleFox” oder dem Clipboard-Stealer “ClipBanker”, der Kryptowährungs-Adressen in der Zwischenablage manipuliert. Beide nutzen MSHTA als Einstiegsvektor für persistente Infektionen.
Gegen diese Angriffe gibt es keine Patche – das ist das kernproblem. Die Hauptverteidigung liegt in Nutzersensibilisierung: Experten raten dringend davon ab, Commands in Terminal oder PowerShell auszuführen, die von unbekannten Quellen stammen. Für Organisationen empfehlen Sicherheitsforscherder Bitdefender: MSHTA sollte standardmäßig blockiert werden – in Firewalls und auf Endpoints – sofern keine Geschäftsanwendungen zwingend darauf angewiesen sind.
Deutsche Unternehmen sollten ihre Sicherheitsteams schulen und entsprechende Endpoint-Protection-Richtlinien implementieren. Das BSI bietet auf seiner Website Empfehlungen zur Härtung von Windows-Systemen.