MSHTA ist seit 1999 mit Windows 98 SE und Internet Explorer 5.0 fester Bestandteil von Windows und läuft bis in die aktuellen Versionen mit – auch über den IE-Modus im Edge-Browser. Hintergrund ist Microsofts Prinzip, die Abwärtskompatibilität zu wahren. Während die legitime Nutzung über die Jahre zurückgegangen ist, hat der Missbrauch zugenommen.

Die technische Grundlage des Missbrauchs liegt in der Funktionsweise des Werkzeugs: Eine von einem externen Server geladene HTA-Datei kann so präpariert werden, dass sie VBScript im Arbeitsspeicher ausführt. Das lokale System sieht dabei nur die Aktivität eines vertrauenswürdigen, von Microsoft signierten Programms, nicht den eigentlichen Vorgang im Speicher. Laut Bitdefender stellt MSHTA Angreifern ein eingebautes, von Microsoft signiertes Werkzeug bereit, mit dem sich entfernter Skriptinhalt in der Anfangs- oder Zwischenphase einer Infektionskette abrufen und ausführen lässt – und das sich aufgrund seiner fortdauernden legitimen Verwendung kaum automatisch sperren lässt.

Ein von Bitdefender beobachtetes Beispiel ist der HTA-basierte CountLoader, der die Stealer Lumma und Amatera ausliefert. In einer Lumma-Kampagne wurden Opfer über Nachrichten, Social-Media-Beiträge oder durch SEO-Poisoning manipulierte Webseiten angelockt, die kostenlose oder geknackte Software versprachen. Wer darauf hereinfiel, führte eine Setup-Datei aus, die in Wirklichkeit einen Python-Interpreter lud; das heruntergeladene Archiv enthielt neben den nötigen Skripten eine MSHTA-Datei, die den C2-Server der Angreifer kontaktierte und den HTA-Loader nachlud.

Ebenfalls dokumentiert ist der Emmenhtal-Loader, der Lumma und weitere Stealer verbreitete. Diese Kampagne begann mit Phishing-Nachrichten über Discord: Das Opfer wurde auf eine Seite gelockt, die die Zwischenablage kapert und im Rahmen einer gefälschten Mensch-Prüfung zur Ausführung eines Befehls verleitet. Drückte der Nutzer Win + R sowie Strg + V und Enter, startete scheinbar explorer.exe MSHTA, woraufhin ein PowerShell-Skript aus der Ferne geladen und ausschließlich im Arbeitsspeicher ausgeführt wurde, ohne auf der Festplatte gespeichert zu werden.

Weitere Kampagnen lieferten ClipBanker und PurpleFox aus. ClipBanker ersetzt vor allem Wallet-Adressen in der Zwischenablage, um Kryptowährung zu stehlen; MSHTA dient hier laut Bitdefender als Ausführungsmechanismus der Frühphase, der rasch zu PowerShell-gestützter Persistenz übergeht. PurpleFox ist eine seit 2018 aktive, fortgeschrittene Schadsoftware; eine ihrer langjährigen Auslieferungsmethoden besteht darin, über eine MSHTA-Befehlszeile msiexec zu starten und ein als .png-Datei getarntes MSI-Paket herunterzuladen und auszuführen.

Als wichtigste Verteidigung nennt Sicherheitsanalyst Silviu Stahie von Bitdefender die Aufmerksamkeit der Nutzer: Könnte man Menschen davon abhalten, Befehle in Terminals oder PowerShell auszuführen und geknackte Anwendungen oder raubkopierte Spiele herunterzuladen, ließe sich der Großteil dieser Probleme lösen – nach seiner Einschätzung würden über 90 Prozent der Angriffe entfallen. Daneben seien technische Maßnahmen über die gesamte Angriffskette hinweg nötig, von der Reduzierung der Angriffsfläche über Erkennung vor der Ausführung bis zur verhaltensbasierten Blockierung zur Laufzeit. Für Organisationen empfiehlt Stahie, solche Alt-Binärdateien grundsätzlich zu blockieren – wer keine kritische Anwendung mit MSHTA-Zugriff betreibe, solle den Zugang per Firewall sperren.