Устаревший инструмент Windows MSHTA используется для массовых скрытых атак вредоносного ПО

Автор: Кевин Таунсенд | 19 мая 2026 года

Злоумышленники всё активнее эксплуатируют утилиту MSHTA (Microsoft HTML Application) — инструмент, существующий в составе Windows с 1999 года — для скрытой доставки стилеров, загрузчиков и устойчивого вредоносного ПО. В качестве векторов атак используются фишинг, поддельные загрузки программ и цепочки атак на основе LOLBIN.

Что такое MSHTA и почему это опасно?

MSHTA предназначена для выполнения HTML-приложений (HTA-файлов), написанных на HTML, VBScript или JavaScript. Ключевая особенность, которую эксплуатируют хакеры: HTA-файл, загруженный с удалённого сервера, может выполнять вредоносный код прямо в памяти. При этом локальная система видит лишь активность доверенного и подписанного Microsoft исполняемого файла — но не то, что происходит в памяти.

Именно поэтому MSHTA относится к категории LOLBIN (Living-off-the-Land Binaries) — легитимных системных инструментов, которые атакующие используют в преступных целях, чтобы оставаться незамеченными.

С начала 2026 года компания Bitdefender фиксирует резкий рост числа атак с использованием MSHTA.

Как проводятся атаки?

Все атаки начинаются с социальной инженерии. Среди выявленных сценариев:

• Загрузчик CountLoader — жертву заманивают обещанием бесплатного или взломанного ПО через сообщения, публикации в соцсетях или SEO-отравленные сайты. Скачанный «архив с программой» содержит скрипты и MSHTA, которая связывается с сервером злоумышленника и загружает стилеры Lumma и Amatera.
• Загрузчик Emmenhtal — атака начинается с фишинга через Discord. Жертву обманом заставляют выполнить вредоносную команду под видом «проверки CAPTCHA»: нажать Win + R, вставить и запустить команду через буфер обмена. В результате MSHTA запускается через explorer.exe, а PowerShell-скрипт выполняется исключительно в памяти — без сохранения на диск.
• ClipBanker — вредонос, подменяющий адреса криптокошельков в буфере обмена для кражи криптовалюты.
• PurpleFox — продвинутое и устойчивое вредоносное ПО, активное с 2018 года. Использует MSHTA для запуска msiexec и загрузки вредоносного MSI-пакета, замаскированного под .png-файл.

Как защититься?

«Главная защита от подобных атак — осведомлённость пользователей. Если убедить людей перестать запускать команды в терминале или PowerShell, а также прекратить скачивать взломанные приложения и пиратские игры, более 90% атак прекратились бы на следующий день.»

— Сильвиу Стахие, аналитик по безопасности Bitdefender

Технические меры защиты включают:

• Блокировка MSHTA на уровне межсетевого экрана — если в организации нет критических приложений, требующих этот инструмент, доступ к нему должен быть закрыт по умолчанию
• Снижение поверхности атаки — ограничение использования устаревших системных утилит
• Обнаружение угроз до выполнения и поведенческая блокировка в режиме реального времени
• Обучение сотрудников — противодействие социальной инженерии

Вывод: MSHTA — наглядный пример того, как благие намерения в виде поддержки обратной совместимости оборачиваются серьёзной угрозой безопасности. Организациям следует заблокировать доступ к этой утилите по умолчанию — если только она не является критически необходимой для работы конкретных приложений.