Ursprünglich für harmlose HTML-Anwendungen gedacht, dient es heute als Türöffner für Schadsoftware, die Passwörter, Kryptogeld und Sitzungsdaten stiehlt.
Warum ein 90er-Jahre-Tool plötzlich wieder gefährlich wird
Sicherheitsforscher von Bitdefender und McAfee schlagen Alarm. Die Microsoft-Komponente mshta.exe – seit den späten 1990ern an Bord – erlebt eine unheilvolle Renaissance. Das Problem: Das Programm ist digital von Microsoft signiert. Viele Antivirenprogramme behandeln es deshalb als vertrauenswürdig.
Da Cyberkriminelle immer raffiniertere Methoden wie den Missbrauch von Windows-Bordmitteln nutzen, ist ein aktuelles Verständnis der Bedrohungslage für Unternehmen unerlässlich. Dieser kostenlose Ratgeber zeigt, wie Sie Sicherheitslücken schließen und Ihre IT-Infrastruktur proaktiv schützen. Cyber Security Trends und Schutzmaßnahmen kostenlos entdecken
Die Taktik heißt „Living-off-the-Land“ (LotL). Angreifer müssen keine eigene Schadsoftware auf den Rechner schmuggeln. Sie nutzen einfach das, was Windows ohnehin mitbringt. Die Zahlen sind alarmierend: Laut Bitdefender gehen inzwischen rund 90 Prozent aller MSHTA-Telemetrie-Ereignisse auf bösartige Aktivitäten zurück.
Ein besonderer Kniff macht das Tool so gefährlich: MSHTA führt Skripte direkt aus dem Arbeitsspeicher aus. Herkömmliche dateibasierte Virenscanner haben damit kaum eine Chance. Oft dient MSHTA nur als Zwischenstation, die schädlichen Code nachlädt und an die PowerShell weitergibt.
So locken die Hacker ihre Opfer in die Falle
Die Angreifer kombinieren technischen Missbrauch mit psychologischer Manipulation. Sie kontaktieren ihre Opfer über Discord, soziale Netzwerke oder andere Smartphone-Apps. Von dort schlagen sie die Brücke zum Windows-PC.
Besonders perfide: die „ClickFix“-Methode. Nutzer landen auf gefälschten Webseiten, die ein angebliches technisches Problem oder einen Fake-CAPTCHA vortäuschen. Die Anweisung: Drückt „Win + R“, fügt den Befehl aus der Zwischenablage ein und führt ihn aus. Im Hintergrund startet das die mshta.exe – und die lädt Schadsoftware von Cloud-Diensten wie der Alibaba Cloud nach.
Eine andere Masche setzt auf Unterhaltung und Piraterie. Gefälschte Downloads für den Film „One Battle After Another“ oder gecrackte Software dienen als Köder. Die Archive enthalten einen getarnten Python-Interpreter, der eine umbenannte MSHTA-Version aufruft.
Lumma Stealer und CountLoader: Die Schadsoftware im Detail
Die Zahlen sprechen eine deutliche Sprache. McAfee Labs identifizierte eine Kampagne mit dem sogenannten CountLoader, die weltweit rund 86.000 Rechner infizierte. In Spitzenzeiten stellten bis zu 5.000 Systeme pro Minute eine Verbindung zur Angreifer-Infrastruktur her.
Die nachgeladene Schadsoftware gehört meist zu den Information-Stealern wie Lumma Stealer oder Amatera. Ihr Ziel: sensible Daten von Privatpersonen.
Browser-Daten wie Passwörter und Auto-Fill-Informationen werden systematisch ausgelesen. Noch gefährlicher: Die Diebe entwenden Sitzungs-Tokens und Cookies. Damit umgehen sie die Zwei-Faktor-Authentifizierung und loggen sich direkt in Banking-, E-Mail- oder Social-Media-Konten ein.
Angesichts von Information-Stealern, die gezielt Passwörter aus Browsern auslesen, wird der herkömmliche Login-Schutz zunehmend unsicher. Erfahren Sie in diesem Experten-Report, wie Sie mit der passwortlosen Anmeldung durch Passkeys Hackern keine Chance mehr lassen. Kostenlosen Report zur sicheren Passkey-Einrichtung herunterladen
Kryptowährungen sind ebenfalls bedroht. Ein spezielles Modul namens ClipBanker überwacht die Zwischenablage. Kopiert ein Nutzer eine Wallet-Adresse, ersetzt das Programm sie unbemerkt durch eine Adresse der Angreifer. Die nächste Transaktion führt dann zum Totalverlust.
Neben diesen Diebstählen installieren fortschrittlichere Bedrohungen wie PurpleFox Rootkits. Diese bleiben tief im System verankert und geben den Tätern dauerhaften Fernzugriff. Interessant: Rund 9000 der untersuchten Infektionen gingen auf kompromittierte USB-Sticks zurück, deren Verknüpfungsdateien den MSHTA-Prozess anstießen.
Microsoft zieht die Notbremse – aber langsam
Der Druck auf Microsoft wächst. Der Konzern hat bereits reagiert und die schrittweise Einstellung von VBScript angekündigt – einer Kerntechnologie hinter vielen MSHTA-Angriffen. Der Zeitplan: Bis 2027 soll die Komponente standardmäßig deaktiviert und schließlich ganz entfernt werden.
Einen Erfolg konnten die Sicherheitsexperten bereits verbuchen: Ein krimineller Dienstleister namens „Fox Tempest“ wurde zerschlagen. Er bot einen „Malware-Signing-as-a-Service“ an und missbrauchte Microsoft-Zertifikate, um Schadsoftware authentisch aussehen zu lassen. Hunderte gefälschte Zertifikate wurden deaktiviert.
Was Nutzer jetzt tun sollten
Bis Microsofts Maßnahmen greifen, bleibt MSHTA auf den meisten PCs aktiv. Sicherheitsexperten raten zu erhöhter Wachsamkeit. Seid skeptisch, wenn jemand auffordert, Befehle in das Ausführen-Fenster oder die Eingabeaufforderung zu kopieren – besonders bei Aufforderungen aus sozialen Netzwerken.
Versierte Anwender können den Zugriff auf mshta.exe und verwandte Tools wie wscript.exe über Sicherheitsrichtlinien wie AppLocker oder Windows Defender Application Control einschränken. Der effektivste Schutz bleibt aber die Sensibilisierung für Social-Engineering-Taktiken.
Das grundlegende Problem der Abwärtskompatibilität
Der Fall MSHTA zeigt ein Dilemma der IT-Sicherheit: das Gleichgewicht zwischen funktionaler Kontinuität und modernem Schutz. Microsoft muss Funktionen aus den 1990ern beibehalten, weil bestimmte Branchenanwendungen darauf angewiesen sind. Kriminelle nutzen diese Altlasten gezielt aus.
Für Endverbraucher bedeutet das ein erhöhtes Risiko bei alltäglichen Aktionen. Ein Angriff, der mit einer Discord-Nachricht auf dem Smartphone beginnt und in einer Infektion des Heim-PCs endet – das zeigt, wie vernetzt die Angriffsvektoren heute sind.
Die Entwendung von Sitzungs-Tokens ist besonders kritisch. Sie entwertet den herkömmlichen Schutz durch Passwörter und SMS-Codes. Solange Tools wie MSHTA auf Milliarden von Geräten vorhanden sind, bleiben sie ein attraktives Ziel für Angreifer, die auf maximale Reichweite bei minimalem Entdeckungsrisiko setzen.
