Alte Windows-Komponente wird zur Einfallstraße für Hacker

Eine veraltete Windows-Funktion aus den 90ern erlebt ein böses Comeback – als Werkzeug für moderne Cyberangriffe.

Sicherheitsforscher von Bitdefender Labs schlagen Alarm: Der Microsoft HTML Application Host, besser bekannt als „mshta.exe“, wird zunehmend für Malware-Attacken missbraucht. Obwohl die Software, für die das Tool einst entwickelt wurde, längst eingestellt ist, dient es heute als Transportmittel für Datendiebe und Rootkits.

Das Problem betrifft Unternehmen weltweit – und auch deutsche Firmen sind betroffen. Die Taktik nennt sich „Living-off-the-Land“ (LOLBIN): Angreifer nutzen vertrauenswürdige, von Microsoft signierte Dateien, die auf jedem Windows-Rechner vorinstalliert sind. So umgehen sie klassische Sicherheitsfilter und führen Schadcode direkt im Arbeitsspeicher aus.

Angesichts der Zunahme von Angriffen auf signierte Windows-Komponenten ist ein proaktiver Schutz vor Cyberattacken für Betriebe wichtiger denn je. Dieses kostenlose E-Book enthüllt, wie Unternehmer Sicherheitslücken schließen und ihr Unternehmen auch ohne hohes Budget vor modernen Bedrohungen absichern können. IT-Sicherheit stärken ohne teure Investitionen

Ein Relikt aus dem Internet-Explorer-Zeitalter

MSHTA wurde 1999 mit Windows 98 Second Edition und Internet Explorer 5.0 eingeführt. Eigentlich sollte die Komponente HTML-Anwendungen (HTA) ausführen. Obwohl Microsoft den Internet Explorer 2022 offiziell in Rente schickte, blieb mshta.exe als Teil des Betriebssystems erhalten – aus Gründen der Abwärtskompatibilität.

Die Bitdefender-Analyse zeigt ein klares Bild: Während die legitime Nutzung des Tools verschwindet, schießen die bösartigen Erkennungen seit Jahresbeginn in die Höhe. Nur noch rund zehn Prozent der aktuellen Telemetriedaten betreffen harmlose Aktivitäten wie administrative Skripte oder Update-Mechanismen für ältere Programme. Die restlichen 90 Prozent sind Teil komplexer Infektionsketten.

Der Reiz für Cyberkriminelle liegt auf der Hand: MSHTA kann VBScript oder JavaScript von lokalen oder entfernten Quellen ausführen. Da die Binärdatei ein vertrauenswürdiges, signiertes Windows-Element ist, entgeht sie oft der Prüfung, der Drittanbieter-Programme unterzogen werden. Angreifer nutzen sie, um Schadcode nachzuladen und an andere Windows-Komponenten wie PowerShell zu übergeben – ohne nennenswerte Spuren auf der Festplatte zu hinterlassen.

CountLoader und PurpleFox: Zwei gefährliche Kampagnen

Mehrere Malware-Familien setzen derzeit auf MSHTA. Besonders aktiv ist CountLoader, ein mehrstufiger Lader, der die Datendiebe LummaStealer und Amatera verteilt. Die Kampagne zielt gezielt auf Nutzer ab, die nach Raubkopien oder „geknackter“ Software suchen. In einem konkreten Fall lockten die Angreifer mit einer illegalen Kopie des Films „One Battle After Another“.

Der Infektionsprozess ist raffiniert: Die Angreifer tarnen MSHTA als „iso2022.exe“ und verpacken es in einen schädlichen Python-Interpreter. Sobald das Opfer die Datei startet, kontaktiert das Tool die Server der Angreifer. Bitdefender beobachtete ab Ende Februar 2026 eine Verlagerung der Infrastruktur hin zu typgetäuschten Domains auf .vg und .gl – etwa „explorer.vg“ oder „ccleaner.gl“.

Da Angreifer zunehmend legitime Systemprozesse für ihre Zwecke missbrauchen, wird die Identifizierung von Schadsoftware auf dem eigenen Rechner immer schwieriger. Ein neuer Gratis-Report zeigt Ihnen, wie Sie Spionage-Programme entlarven und Ihren Windows-PC in wenigen Schritten effektiv vor Ausspähung schützen. Kostenlosen Experten-Report zum PC-Schutz anfordern

Auch die langlebige PurpleFox-Malware hat MSHTA in ihre Angriffskette integriert. Die Schadsoftware nutzt das Tool, um „msiexec“-Befehle zu starten, die Schadcode als harmlose Bilddateien tarnen. Ist PurpleFox erst einmal installiert, agiert es als Rootkit-fähige Hintertür und gibt Angreifern dauerhaften Zugriff für Überwachung und DDoS-Attacken.

Falsche CAPTCHAs und manipulierte Werbung

Die Bitdefender-Forscher dokumentierten auch die „ClickFix“-Methode. Dabei werden Opfer mit gefälschten CAPTCHA-Seiten oder „Menschlichkeitsprüfungen“ konfrontiert, die oft über Phishing-Nachrichten auf Plattformen wie Discord verteilt werden.

Die Opfer werden aufgefordert, eine bestimmte Tastenkombination zu drücken – Windows-Taste und R –, um den Ausführen-Dialog zu öffnen, dann einen Befehl einzufügen und mit Enter zu bestätigen. Diese Sequenz bringt „explorer.exe“ dazu, MSHTA gegen eine entfernte URL zu starten – die Infektion beginnt. Eine solche Kampagne, genannt Emmenhtal Loader, nutzt diese falschen Verifizierungsseiten, um Datendiebe zu installieren und gleichzeitig die Sicherheitssandboxen der Browser zu umgehen.

Parallel setzen Kriminelle auf manipulierte Google-Anzeigen und Suchmaschinen-Optimierung (SEO). Eine aktuelle „InstallFix („InstallFix-Kampagne, die Anfang Mai beobachtet wurde, nutzte gefälschte Installationsseiten für KI-Assistenten wie Anthropics Claude. Die Opfer werden getäuscht, PowerShell-Befehle auszuführen, die MSHTA für dateilose Angriffe aktivieren.

Microsofts Dilemma mit der Abwärtskompatibilität

Die anhaltende Relevanz von MSHTA kommt zu einem Zeitpunkt, an dem Microsoft die zugrunde liegenden Skript-Technologien eigentlich abschaffen will. Ende 2024 begann der Konzern mit der Abkündigung von VBScript – ab 2027 soll es in Windows standardmäßig deaktiviert sein. Doch bis das Tool vollständig entfernt oder eingeschränkt ist, bleibt es eine offene Angriffsfläche.

Sicherheitsexperten raten zu einem mehrschichtigen Ansatz. Organisationen sollten „mshta.exe“ und „wscript.exe“ blockieren oder streng überwachen, wenn sie nicht für bestimmte Geschäftsanwendungen benötigt werden. Da MSHTA nicht über die modernen Sicherheitsfunktionen und Sandboxing moderner Webbrowser verfügt, ist seine Ausführung kaum zu überprüfen.

Die Bilanz der Forscher ist eindeutig: Das Gleichgewicht hat sich klar in Richtung Missbrauch verschoben. Der „Geist des Internet Explorers“ bietet Angreifern weiterhin einen verlässlichen Weg, um moderne Unternehmensumgebungen zu kompromittieren.

Ausblick: Keine schnelle Lösung in Sicht

Microsoft hat Anfang Mai im Rahmen seiner Patch-Tuesday-Updates über 130 Sicherheitslücken geschlossen, darunter 13 als kritisch eingestufte. Die Aktualisierungen konzentrierten sich auf Remote-Code-Ausführung in Azure und Microsoft Dynamics 365. Doch das grundlegende Problem der Legacy-Binärdateien erfordert laut Forschern organisatorische Richtlinienänderungen.

Branchenexperten erwarten, dass Angreifer ihre Methoden weiter verfeinern werden – solange MSHTA als Standardbestandteil des Windows-Ökosystems erhalten bleibt. Zukünftige Abwehrstrategien dürften sich verstärkt auf verhaltensbasierte Blockaden und die vollständige Einschränkung administrativer Werkzeuge für Standardnutzer konzentrieren.

de | wissenschaft | 69375458 |