MSHTA đang bị lạm dụng trong các cuộc tấn công mạng để phát tán mã độc, với chuỗi lây nhiễm có thể dẫn đến đánh cắp mật khẩu, cookie phiên và hệ thống bị xâm nhập. Đây là một rủi ro bảo mật đáng chú ý vì công cụ này tồn tại sẵn trong Windows và được hệ điều hành tin cậy theo mặc định.
MSHTA Là Gì Và Vì Sao Đáng Chú Ý
MSHTA là viết tắt của Microsoft HTML Application Host, một tiện ích Windows tích hợp sẵn có khả năng chạy script từ tệp cục bộ hoặc từ địa chỉ từ xa. Do là một binary được ký bởi Microsoft, mshta.exe thường được Windows cho phép thực thi mà không gây cảnh báo mạnh trong nhiều kịch bản.
Tính hợp pháp này khiến MSHTA trở thành một mắt xích hấp dẫn trong mối đe dọa hiện nay. Kẻ tấn công lợi dụng độ tin cậy mặc định của hệ điều hành để thực thi mã độc, thay vì phải dùng các trình tải ngoài hoặc công cụ lạ dễ bị chặn hơn.
Theo báo cáo nghiên cứu của Bitdefender, hoạt động lạm dụng MSHTA đã tăng rõ rệt từ đầu năm 2026. Nguồn tham khảo: Bitdefender Labs.
Chuỗi Tấn Công Mạng Dựa Trên MSHTA
Các chiến dịch được ghi nhận sử dụng MSHTA ở giai đoạn đầu hoặc giữa của chuỗi lây nhiễm. Trong một số trường hợp, MSHTA tải script từ máy chủ do kẻ tấn công kiểm soát. Ở các trường hợp khác, nó nằm trong chuỗi dài hơn gồm phishing, tải phần mềm giả mạo và các thủ thuật social engineering.
Chiến dịch liên quan đến CountLoader cho thấy cách MSHTA được dùng làm bàn đạp để phân phối các payload như LummaStealer và Amatera. Người dùng tải một tệp trông giống phần mềm miễn phí hoặc crack; bên trong có Setup.exe, thực chất là Python interpreter hợp lệ đi kèm script độc hại.
Khi script Python chạy, nó gọi một bản sao MSHTA đã được đổi tên thành iso2022.exe để kết nối tới máy chủ và lấy payload giai đoạn tiếp theo. Ở một số trường hợp, payload cuối cùng được nạp hoàn toàn trong bộ nhớ, giúp giảm dấu vết trên đĩa.
Vector Lây Nhiễm Qua Kỹ Thuật Xã Hội
Một chuỗi tấn công khác sử dụng thông điệp phishing trên Discord, dẫn người dùng tới trang xác minh giả mạo kiểu reCAPTCHA. JavaScript trên trang sao chép lệnh độc vào clipboard và yêu cầu người dùng nhấn Win + R, dán lệnh rồi nhấn Enter.
Hành động này khiến MSHTA tải một script từ xa và thực thi hoàn toàn trong bộ nhớ, giúp né nhiều công cụ quét dựa trên tệp. Chuỗi thực thi sau đó dùng các lớp mã hóa và cuối cùng gọi PowerShell để thả LummaStealer.
Chuỗi Mã Độc Quan Sát Được
Nhiều họ mã độc được ghi nhận trong các chiến dịch này. Các họ nổi bật gồm:
- LummaStealer
- Amatera
- ClipBanker
- CountLoader
- Emmenhtal Loader
- PurpleFox
Trong đó, LummaStealer tập trung vào thu thập thông tin trình duyệt, cookie phiên và dữ liệu ví tiền mã hóa. Amatera nhắm vào các dữ liệu tương tự. Cả hai có thể âm thầm chuyển dữ liệu bị đánh cắp cho đối tượng điều hành mà nạn nhân không dễ nhận ra.
IOC Liên Quan
Các IOC dưới đây được trích xuất từ nội dung gốc và được giữ nguyên dạng mô tả kỹ thuật:
- mshta.exe – Tiến trình bị lạm dụng trong chuỗi lây nhiễm.
- iso2022.exe – Bản sao MSHTA được đổi tên để che giấu hành vi.
- Setup.exe – Tệp giả mạo trong gói phần mềm tải về.
- google-services[.]cc – Domain được dùng trong chiến dịch.
- memory-scanner[.]cc – Domain được dùng trong chiến dịch.
- explorer[.]vg – Domain chuyển sang giai đoạn sau.
- ccleaner[.]gl – Domain chuyển sang giai đoạn sau.
Các tên miền được mô tả theo dạng defanged để tránh phân giải ngoài ý muốn. Khi phân tích trong môi trường TI, có thể re-fang trong MISP, VirusTotal hoặc SIEM.
Cách MSHTA Được Lạm Dụng Trong Chuỗi Khai Thác
Trong chiến dịch CountLoader, script Python gọi một bản sao MSHTA đã bị ngụy trang. Công cụ này truy cập máy chủ từ xa, tải script và tiếp tục thực thi chuỗi mã hóa nhiều lớp. Cách làm này tạo ra một dạng remote code execution ở tầng ứng dụng người dùng mà không cần cài đặt payload trực tiếp lên đĩa.
Điểm đáng chú ý là MSHTA vẫn có mặt mặc định trên Windows và chưa có thời điểm loại bỏ chính thức. Trong khi VBScript dự kiến bị vô hiệu hóa hoàn toàn vào năm 2027, MSHTA vẫn là một bề mặt tấn công mở cho tới khi có thay đổi cấu hình hoặc chính sách nội bộ.
Hành Vi Kỹ Thuật Cần Theo Dõi
Các dấu hiệu thường thấy trong chuỗi tấn công mạng này gồm:
- Thực thi mshta.exe từ đường dẫn bất thường.
- MSHTA gọi tới domain lạ hoặc mới đăng ký.
- Chuỗi lệnh kết hợp PowerShell, script mã hóa, hoặc tải payload trong bộ nhớ.
- Tiến trình giả mạo tên giống thành phần hệ thống, ví dụ iso2022.exe.
Ảnh Hưởng Hệ Thống Và Dữ Liệu
Ảnh hưởng chính của rủi ro bảo mật này là chiếm quyền điều khiển phiên làm việc, đánh cắp thông tin xác thực và xâm nhập sâu hơn vào hệ thống. Khi payload cuối là stealer, dữ liệu nhạy cảm như mật khẩu lưu trong trình duyệt, cookie đăng nhập và tài sản ví điện tử có thể bị thu thập.
Trong các kịch bản khác, kẻ tấn công có thể dùng chuỗi này để triển khai loader hoặc malware bổ sung. Điều đó làm tăng khả năng hệ thống bị tấn công theo nhiều giai đoạn, không chỉ ở lớp người dùng mà còn ở lớp thực thi script.
IOC Và Dấu Vết Phân Tích Cần Lưu Ý
Đối với phát hiện xâm nhập, việc theo dõi hành vi của mshta.exe quan trọng hơn chỉ dựa vào hash hay IOC tĩnh. Nhiều chiến dịch dùng domain thay đổi thường xuyên, đổi sang các TLD như .cc, .vg và .gl để tránh bị chặn theo mẫu cố định.
Khi phân tích sự cố, cần chú ý tới chuỗi thực thi bắt đầu từ tài liệu nén, phần mềm crack, hoặc liên kết xác minh giả. Đây là các điểm khởi phát phổ biến trong chuỗi mối đe dọa mạng dựa trên MSHTA.
Biện Pháp Giảm Thiểu Và Kiểm Soát
Khuyến nghị kỹ thuật từ nghiên cứu là hạn chế hoặc chặn mshta.exe trong các workflow quản trị nếu không còn nhu cầu sử dụng. Việc giảm bề mặt tấn công ở lớp endpoint có thể ngăn chuỗi lây nhiễm ngay từ bước đầu.
Cần kết hợp kiểm soát hành vi, runtime blocking và các cơ chế an ninh mạng dựa trên phát hiện tiến trình bất thường. Bên cạnh đó, đào tạo người dùng vẫn rất quan trọng vì nhiều chuỗi khai thác dựa trên việc dụ người dùng tự chạy lệnh mà họ không hiểu rõ.
Đối với đội vận hành, nên giám sát các lệnh gọi MSHTA trong log tiến trình, đặc biệt khi nó được gọi từ môi trường nén, trình duyệt, hoặc script trung gian. Điều này giúp phát hiện tấn công sớm hơn trước khi payload cuối được kích hoạt.
Khuyến Nghị Theo Dõi Trong Môi Trường Doanh Nghiệp
Trong bối cảnh tin tức bảo mật về MSHTA tiếp tục tăng, các hệ thống EDR và SIEM nên ưu tiên rule cho tiến trình đáng ngờ, URL bất thường và chuỗi lệnh có hành vi tải mã từ xa. Khi phát hiện mshta.exe đi kèm PowerShell hoặc tiến trình đổi tên, cần điều tra ngay theo hướng chuỗi lây nhiễm đa giai đoạn.
Các nhóm ứng phó sự cố cũng nên đối chiếu IOC của chiến dịch với telemetries nội bộ để xác định mức độ ảnh hưởng, thời điểm xâm nhập và các máy trạm có khả năng đã bị thu thập dữ liệu. Trong các trường hợp này, ưu tiên là cô lập máy nghi vấn, thu thập mẫu, và kiểm tra toàn bộ tiến trình liên quan đến MSHTA.
