Công cụ cũ kỹ MSHTA của Windows bị lợi dụng để phát tán malware âm thầm

Ý định tốt đôi khi lại dẫn đến những hậu quả không mong muốn, và MSHTA chính là một ví dụ điển hình cho điều này trong thế giới bảo mật hiện nay.

MSHTA (Microsoft HTML Application) đã là một phần không thể thiếu của Windows kể từ năm 1999, ra mắt cùng với Windows 98 SE và Internet Explorer 5.0. Công cụ này vẫn tồn tại trong các phiên bản Windows hiện đại nhất và tiếp tục chạy thông qua chế độ IE trên trình duyệt Edge. Mục đích chính của nó là tuân thủ chính sách ưu tiên tính tương thích ngược (backward compatibility) của Microsoft.

Tuy nhiên, qua nhiều năm, việc sử dụng MSHTA cho các mục đích hợp pháp đã giảm sút, trong khi việc bị kẻ xấu lạm dụng lại gia tăng mạnh mẽ. MSHTA ngày càng được các tác nhân đe dọa sử dụng như một binary "Living-off-the-Land" (LOLBIN) để âm thầm phân phối nhiều loại mã độc — từ các trình đánh cắp (stealer) và loader phổ thông cho đến các phần mềm độc hại tiên tiến và dai dẳng như PurpleFox.

Kể từ đầu năm nay, BitDefender đã phát hiện sự gia tăng đột biến trong các hoạt động liên quan đến MSHTA. Công ty an ninh mạng này tin rằng điều này phản ánh việc các nhóm tin tặc tăng cường sử dụng công cụ này hơn là sự phục hồi của các quản trị viên hệ thống.

Màn hình xanh chết chóc trên Windows

Cơ chế hoạt động của MSHTA

MSHTA được thiết kế để thực thi các tệp ứng dụng HTML (HTA), là các chương trình được viết bằng HTML, VBScript hoặc JavaScript. Một tệp HTA được tải từ máy chủ từ xa có thể được thao tác để chạy VBScript ngay trong bộ nhớ.

Máy chủ cục bộ chỉ nhìn thấy hoạt động của một binary tin cậy và được ký bởi Microsoft (MS-signed), chứ không thấy những gì đang thực sự diễn ra trong bộ nhớ. Chính vì sự tin cậy này và việc nó vẫn còn được sử dụng hợp pháp, việc tự động chặn công cụ trở nên rất khó khăn. Kết quả là mã độc vô hình có thể được đưa vào hệ thống, từ đó tải xuống các thành phần LOLBIN khác và cuối cùng triển khai các phần mềm độc hại nguy hiểm.

"MSHTA cung cấp cho kẻ tấn công một tiện ích tích hợp sẵn, được ký bởi Microsoft, có thể truy xuất và thực thi nội dung tập lệnh từ xa trong giai đoạn đầu hoặc giữa của chuỗi lây nhiễm," báo cáo của BitDefender chỉ rõ.

Các phương thức tấn công phổ biến

Kẻ tấn công thường khởi động quy trình thông qua các kỹ thuật kỹ thuật xã hội (social engineering) cơ bản. Một trong những cách lạm dụng phổ biến mà BitDefender phát hiện là sử dụng HTA CountLoader để phân phối các loại mã độc đánh cắp thông tin như Lumma và Amatera.

Trong một chiến dịch Lumma, nạn nhân bị nhắm mục tiêu qua tin nhắn, bài đăng trên mạng xã hội hoặc các trang web bị đầu tư SEO (SEO-poisoned) hứa hẹn cung cấp phần mềm miễn phí hoặc đã bẻ khóa (cracked software). Nếu bị lừa đảo thành công, nạn nhân sẽ thực thi một tệp cài đặt thực chất là trình thông dịch Python. Kho lưu trữ phần mềm "miễn phí" được tải xuống bao gồm các tập lệnh cần thiết cùng với tệp thực thi MSHTA để liên lạc với máy chủ chỉ huy (C2) của kẻ tấn công và lấy trình tải HTA.

Logo SecurityWeek

Trình tải Emmenhtal cũng được quan sát thấy đang phân phối Lumma và các loại mã độc khác. Chiến dịch này bắt đầu bằng các tin nhắn lừa đảo qua Discord. Nạn nhân bị dụ dỗ truy cập vào một trang web được thiết kế để chiếm quyền điều khiển khay nhớ tạm (clipboard) và lừa người dùng thực thi một dòng lệnh độc hại như một phần của quy trình xác minh con người giả mạo.

Các chiến dịch do MSHTA điều khiển khác còn bao gồm việc phân phối ClipBanker (mã độc thay thế địa chỉ ví tiền điện tử trong clipboard để đánh cắp tiền ảo) và PurpleFox — một họ phần mềm độc hại tiên tiến và dai dẳng đã hoạt động từ năm 2018.

Giải pháp phòng chống

Rõ ràng, kỹ thuật xã hội đóng vai trò then chốt trong việc lạm dụng MSHTA, và sự gia tăng này chứng minh rằng phương thức này vẫn vô cùng hiệu quả.

"Phòng thủ chính chống lại loại tấn công này là nhận thức của người dùng," ông Silviu Stahie, Chuyên gia Phân tích Bảo mật tại Bitdefender, nhận định. "Nếu chúng ta có thể thuyết phục mọi người ngừng chạy các lệnh trong terminal, PowerShell và các công cụ tương tự, chúng ta có thể giải quyết phần lớn các vấn đề này. Điều tương tự cũng áp dụng cho việc tải xuống các ứng dụng bẻ khóa, trò chơi lậu. Có khả năng rất cao bạn sẽ bị nhiễm theo cách này. Tôi sẽ nói rằng hơn 90% các cuộc tấn công sẽ chấm dứt vào ngày hôm sau nếu chúng ta ngừng mắc bẫy."

Việc phòng thủ trước sự lạm dụng MSHTA rõ ràng cần bao gồm đào tạo nhận thức cho người dùng, nhưng các biện pháp giảm thiểu kỹ thuật cũng quan trọng không kém. Các nhà nghiên cứu cảnh báo rằng việc bảo vệ cần bao phủ nhiều điểm trong chuỗi tấn công, từ giảm thiểu bề mặt tấn công đến phát hiện trước khi thực thi và chặn hành vi trong thời gian chạy.

Đối với các tổ chức, ông Stahie khuyến nghị: "Chặn tất cả các binary cũ kỹ này nên là lập trường mặc định. Trừ khi bạn có một số ứng dụng quan trọng vẫn cần quyền truy cập vào MSHTA, người dùng không nên được phép sử dụng nó. Nó nên bị chặn trên tường lửa."