- BitDefender informa un creciente uso indebido de la utilidad MSHTA heredada para distribuir malware InfoStellar y Loader
- Las campañas van desde simples amenazas a productos como LummaStealer hasta herramientas avanzadas de persistencia como PurpleFox.
- Se insta a los defensores a limitar las utilidades de secuencias de comandos obsoletas e implementar controles de seguridad en capas para detectar actividad de secuencias de comandos maliciosas.
Los ciberdelincuentes están utilizando una herramienta heredada legítima de Windows para implementar el malware InfoStellar y Loader, dicen los investigadores.
Un nuevo informe de BitDefender afirma que desde principios de 2026, Microsoft ha visto una mayor actividad relacionada con una utilidad de Windows llamada HTML Application Host (MSHTA), una utilidad legítima que ejecuta archivos de aplicaciones especiales basados en HTML conocidos como HTA.
Cuando se abren páginas web normales en un navegador, los archivos HTA interactúan directamente con el sistema operativo Windows y pueden ejecutar scripts con privilegios elevados.
Amenazas simples y complejas
MSHTA es una herramienta más antigua que se diseñó originalmente para tareas administrativas y de escritorio livianas pero, como muchas otras herramientas heredadas, se está utilizando indebidamente para ejecutar scripts maliciosos, descargar malware o eludir los controles de seguridad.
“Desde principios de año, hemos notado un aumento en la actividad relacionada con MSHTA”, dijo Bitdefender. “El uso legítimo de esta utilidad se está desvaneciendo lentamente, una tendencia que probablemente refleja un aumento de la actividad maliciosa en lugar de una adopción administrativa renovada”.
La actividad que los investigadores analizaron abarcó múltiples categorías de malware, explicaron, y agregaron que vieron campañas tanto simples como más complejas. En el lado “fácil”, MSHTA se usa ampliamente para entregar infoestelares de productos básicos como Amatera o LummaStealer. También se utiliza para cargadores como Countloader o Emmental.
Cuando se trata de amenazas más avanzadas y persistentes, BitDefender ha implementado ClipBanker y PurpleFox.
“Esta gama de abusos pone de relieve por qué MSHTA es importante para los defensores: no es una única familia de malware o modelo de infiltración”, explican. “Es eficaz en todo el espectro, desde la entrega de malware oportunista hasta el compromiso crónico”.
Para protegerse contra ataques basados en MSHTA, las organizaciones deben garantizar tanto la conciencia del usuario como controles de seguridad en capas, dijo. Los usuarios deben evitar descargar archivos que no sean de confianza o ejecutar comandos sospechosos, mientras que las organizaciones deben implementar herramientas de seguridad capaces de detectar scripts maliciosos o abuso de la línea de comandos.
La compañía recomienda limitar utilidades como mshta.exe y wscript.exe cuando sea posible y reemplazar las herramientas de secuencias de comandos más antiguas con opciones modernas para reducir la superficie de ataque.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
