Windows "MSHTA" ถูกนิยมในการใช้เป็นช่องทางส่งมัลแวร์เข้าเครื่อง

เครื่องมือเก่าแก่ของ Windows "MSHTA" ถูกพบว่าถูกนิยมในการใช้เป็นช่องทางส่งมัลแวร์เข้าเครื่อง

จากรายงานโดยเว็บไซต์ Security Week ได้กล่าวถึงการที่ทีมวิจัยจากบริษัทผู้พัฒนาซอฟต์แวร์ป้องกันภัยไซเบอร์ชื่อดัง Bitdefender ออกมากล่าวถึงอันตรายของตัวฟีเจอร์ MSHTA (Microsoft HTML Application) ซึ่งเป็นฟีเจอร์เก่าแก่สำหรับใช้ในการรันแอปพลิเคชันแบบ HTML บนเว็บเบราว์เซอร์ Internet Explorer ที่มีมาตั้งแต่ปี ค.ศ. 1999 (พ.ศ. 2542) พร้อมกับการมาของระบบปฏิบัติการ Windows 98 SE และ Internet Explorer 5.0 ซึ่งนับว่าใหม่ที่สุดในยุคนั้น แต่ถึงแม้จะมีมาอย่างยาวนาน ตัวฟีเจอร์นี้ก็ยังคงอยู่บน Windows 11 ซึ่งเป็นรุ่นล่าสุดในปัจจุบันผ่านการใช้งานบนเว็บเบราว์เซอร์ Edge ด้วย IE Mode เนื่องมาจากนโยบายการใช้งานที่มีความเข้ากันได้แบบย้อนหลัง หรือ Backward Compatibility ของทางไมโครซอฟท์เอง ทว่าด้วยความเก่าแก่ของระบบนี้ ที่ทำให้ระบบการรักษาความปลอดภัยของตัวฟีเจอร์มีความล้าหลังไปโดยปริยาย นำมาสู่การที่แฮกเกอร์ได้นำมาใช้งานเป็นตัวกลางในการปล่อยมัลแวร์ลงเครื่องด้วยเทคนิค Living-off-the-Land binary (LOLBIN) หรือ การใช้งานเครื่องมือที่มีอยู่บนเครื่องอยู่แล้วเพื่อกระจายมัลแวร์ลงสู่เครื่องของเหยื่อ

ซึ่งสำหรับตัวฟีเจอร์ MSHTA นี้ จะมีความสามารถในการรันโปรแกรม หรือ แอปพลิเคชัน ที่ถูกเขียนขึ้นในรูปแบบ HTML, VBScript หรือ JavaScript มาเป็นไฟล์แบบ .HTA ซึ่งจะถูกโหลดมาจากเซิร์ฟเวอร์ภายนอกที่สามารถสั่งการให้ตัว MSHTA ทำการรัน VBScript บนหน่วยความจำโดยตรง (In-Memory Execution) ซึ่งจะส่งผลให้ตัวระบบมองเห็นแค่การทำงานของตัว MSHTA แต่มองไม่เห็นว่ามีอะไรเกิดขึ้นภายในหน่วยความจำบ้าง ทำให้การบล็อกการทำงานของโค้ดมัลแวร์ที่ถูกรันผ่านทางช่องทางนี้ทำได้ยากยิ่ง ทำให้ทางเทคนิคแล้ว การคงตัว MSHTA ไว้บนระบบ เสมอเหมือนทางไมโครซอฟท์ทิ้งเครื่องมือไว้ให้แฮกเกอร์ทำการยิงมัลแวร์ด้วยวิธีการรันโค้ดจากระยะไกล หรือ RCE (Remote Code Execution) แบบ ฟรี ๆ

โดยมีมัลแวร์มากมายใช้วิธีการดังกล่าวในการเข้าสู่เครื่องของเหยื่อ เช่น มัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer อย่าง Lumma Stealer และ Amatera Stealer ที่มีการใช้งานตัวมัลแวร์นกต่อ (Loader) อย่าง HTA CountLoader โดยขั้นตอนจะเริ่มจากการหลอกเหยื่อด้วยวิธีการ Phishing ผ่านทางโซเชียลมีเดีย, ข้อความส่วนบุคคล (Direct Message), หรือผ่านทางการค้นหาด้วย Search Engine ผ่านทางการวางยาการค้นหาด้วยวิธีการ SEO-Poisoning ซึ่งหลังจากเหยื่อหลงกลและทำการดาวน์โหลดสิ่งที่อ้างว่าเป็นซอฟต์แวร์ฟรีลงมาติดตั้งเป็นที่เรียบร้อยแล้ว สิ่งที่ติดตั้งลงไปนั้นจะเป็นตัวแปลสคริปท์ Python (Python Interpreter) ที่ใช้ในการโหลด Python Runtime และ ตัวไฟล์สคริทป์สำหรับการรันบน MSHTA เพื่อดาวน์โหลดตัว HTA Loader จากเซิร์ฟเวอร์ C2 ลงมา แล้วใช้ตัว HTA Loader ถอดรหัสโค้ดมัลแวร์ รันลงไปยังหน่วยความจำโดยตรง

นอกจากแคมเปญข้างต้นแล้ว ยังมีการตรวจพบแคมเปญของมัลแวร์ตัวเดียวกันที่ใช้วิธีการที่แตกต่างออกไป ด้วยการหลอกลวงเหยื่อผ่านทางบริการแชทยอดนิยม Discord ซึ่งแฮกเกอร์จะหลอกเหยื่อเข้าไปยังหน้าเว็บไซต์ ที่มีการวางกับดักด้วยหน้ายืนยันตัวตน (Verification) ปลอมซึ่งจะมีคำสั่งหลอกให้เหยื่อกดปุ่ม CTRL+R เพื่อเปิดฟีเจอร์ Run แล้ว CTRL+V เพื่อวางสคริปท์แล้วรันสคริปท์ดังกล่าวไปยัง MSHTA โดยตรง ซึ่งเป็นวิธีการที่เรียกว่า ClickFix โดยหลังจากสคริปท์ถูกรันขึ้นมา ก็จะนำไปสู่การดาวน์โหลดและรันสคริปท์เพื่อให้มัลแวร์ Lumma Stealer และ Amatera Stealer ทำงานบนหน่วยความจำโดยตรง

ทางทีมวิจัยยังพบอีกว่า มัลแวร์ ClipBanker และ PurpleFox ยังได้ใช้ตัว MSHTA เพื่อปล่อยมัลแวร์ลงสู่เครื่องอีกด้วย ซึ่งทั้ง 2 ตัวนั้นจะใช้วิธีการที่แตกต่างกันนิดหน่อย นั่นคือ

มัลแวร์ ClipBanker จะใช้งาน MSHTA เพื่อรัน HTA จากเซิร์ฟเวอร์ C2 นำไปสู่การดาวน์โหลดและรันสคริปท์ PowerShell เพื่อดาวน์โหลดและติดตั้งมัลแวร์ โดยมัลแวร์ตัวนี้มีความสามารถในการแทรกแซงข้อมูลบน Clipboard เพื่อเปลี่ยนที่อยู่ของกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) ให้เป็นกระเป๋าเงินของแฮกเกอร์ เพื่อให้เหยื่อโอนเงินผิด

มัลแวร์ PurpleFox จะใช้สคริปท์ผ่าน Command Line เพื่อให้ฟีเจอร์ MSHTA รัน msiexec ขึ้นมา เพื่อดาวน์โหลดและรันไฟล์ Payload ในรูปแบบแพ็คเกจ MSI ที่ปลอมตัวเป็นไฟล์รูปภาพสกุล .PNG