Специалисты Bitdefender опубликовали результаты исследования, показавшего, что злоумышленники стали чаще пользоваться Microsoft HTML Application Host (MSHTA), стандартной утилитой Windows, которая некогда была компонентом браузера Internet Explorer. Тот с 2022 года не включается в состав Windows, а MSHTA, программа для выполнения скриптов VBScript и JavaScript, по-прежнему входит в стандартную комплектацию ОС и по умолчанию имеет ряд опасных привилегий.

Исследователи Bitdefender обратили внимание, что MSHTA используется в цепочках заражения программами для кражи информации, загрузчиками других вредоносных программ, троянами для хищения криптовалюты, шпионскими руткитами и не только. Запуск вредоносного скрипта с помощью MSHTA может происходить после загрузки жертвой фальшивых обновлений ПО и взломанных приложений, а также после перехода по вредоносной ссылке, искусственно продвинутой наверх в поисковой выдаче.

В самой Microsoft для защиты от злоупотреблений рекомендуют блокировать исходящий трафик mshta.exe с помощью межсетевого экрана, чтобы предотвратить удаленную загрузку вредоносных скриптов.