Los ciberdelincuentes reactivan el uso de MSHTA para distribuir malware en Windows
- Seguridad
MSHTA es una herramienta heredada de Microsoft aún presente por defecto en Windows. Bitdefender revela nuevas campañas que distribuyen familias de malware como LummaStealer o PurpleFox aprovechando procesos legítimos firmados por Microsoft.
Bitdefender ha publicado una nueva investigación que demuestra cómo MSHTA, una utilidad heredada de Microsoft diseñada originalmente para ejecutar archivos HTML de aplicaciones (HTA), continúa siendo explotada activamente por los ciberdelincuentes para distribuir malware en sistemas Windows.
Pese a que Internet Explorer dejó de tener soporte hace años, MSHTA sigue habilitada por defecto en el sistema operativo, lo que la convierte en un vector atractivo para ataques que buscan ejecutar scripts maliciosos, descargar payloads remotos y evadir mecanismos de detección mediante procesos legítimos firmados por Microsoft.
La compañía de ciberseguridad señala que en los últimos meses se ha detectado un aumento significativo de actividad vinculada a MSHTA, lo que indica que su uso malicioso crece mientras su utilización legítima continúa disminuyendo.
Cadenas de ataque sigilosas y multietapa
El informe detalla que MSHTA está siendo utilizada para distribuir silenciosamente múltiples familias de malware, entre ellas LummaStealer, Amatera, ClipBanker, PurpleFox y CountLoader.
Los atacantes emplean cadenas de ataque fileless y multietapa, combinando scripts HTA, PowerShell y ejecución directa en memoria para evadir las herramientas tradicionales de detección. Este enfoque permite ocultar la actividad maliciosa dentro del comportamiento habitual del sistema, dificultando su identificación por parte de soluciones de seguridad menos avanzadas.
Bitdefender también ha observado un incremento en el uso de señuelos diseñados para inducir al usuario a ejecutar manualmente el malware, entre ellos falsos procesos de verificación, supuestas descargas de software, y variantes del señuelo ClickFix, muy utilizado en campañas recientes. Estos métodos buscan explotar la ingeniería social para complementar las capacidades técnicas de MSHTA como ejecutor silencioso de código.
La investigación identifica nuevos patrones de infraestructura asociados a campañas recientes de CountLoader, incluyendo el uso de dominios con extensiones .vg y .gl, lo que sugiere una evolución activa de los operadores detrás de estas amenazas.
Bitdefender destaca que MSHTA está siendo abusada tanto en campañas masivas de distribución de malware como en ataques más sofisticados orientados al sigilo, la persistencia y el control prolongado de sistemas comprometidos.
