บนระบบปฏิบัติการ Windows 11 นั้น ถึงแม้ระบบหลายอย่างจะเปลี่ยนไปอย่างมากนับตั้งแต่มีการพัฒนา Windows มา แต่ระบบเก่า ๆ จาก Windows รุ่นก่อนบางตัวก็ยังคงมีให้ใช้งานเพื่ออำนวยความสะดวกแก่ผู้ใช้งานที่บางครั้งอาจจำเป็นต้องใช้งานระบบ หรือฟีเจอร์เก่าในการทำงาน กระนั้น ฟีเจอร์เหล่านี้ก็ได้กลายเป็นช่องโหว่ในการส่งมัลแวร์เข้าเครื่องได้
จากรายงานโดยเว็บไซต์ Security Week ได้กล่าวถึงการที่ทีมวิจัยจากบริษัทผู้พัฒนาซอฟต์แวร์ป้องกันภัยไซเบอร์ชื่อดัง Bitdefender ออกมากล่าวถึงอันตรายของตัวฟีเจอร์ MSHTA (Microsoft HTML Application) ซึ่งเป็นฟีเจอร์เก่าแก่สำหรับใช้ในการรันแอปพลิเคชันแบบ HTML บนเว็บเบราว์เซอร์ Internet Explorer ที่มีมาตั้งแต่ปี ค.ศ. 1999 (พ.ศ. 2542) พร้อมกับการมาของระบบปฏิบัติการ Windows 98 SE และ Internet Explorer 5.0 ซึ่งนับว่าใหม่ที่สุดในยุคนั้น แต่ถึงแม้จะมีมาอย่างยาวนาน ตัวฟีเจอร์นี้ก็ยังคงอยู่บน Windows 11 ซึ่งเป็นรุ่นล่าสุดในปัจจุบันผ่านการใช้งานบนเว็บเบราว์เซอร์ Edge ด้วย IE Mode เนื่องมาจากนโยบายการใช้งานที่มีความเข้ากันได้แบบย้อนหลัง หรือ Backward Compatibility ของทางไมโครซอฟท์เอง ทว่าด้วยความเก่าแก่ของระบบนี้ ที่ทำให้ระบบการรักษาความปลอดภัยของตัวฟีเจอร์มีความล้าหลังไปโดยปริยาย นำมาสู่การที่แฮกเกอร์ได้นำมาใช้งานเป็นตัวกลางในการปล่อยมัลแวร์ลงเครื่องด้วยเทคนิค Living-off-the-Land binary (LOLBIN) หรือ การใช้งานเครื่องมือที่มีอยู่บนเครื่องอยู่แล้วเพื่อกระจายมัลแวร์ลงสู่เครื่องของเหยื่อ
ซึ่งสำหรับตัวฟีเจอร์ MSHTA นี้ จะมีความสามารถในการรันโปรแกรม หรือ แอปพลิเคชัน ที่ถูกเขียนขึ้นในรูปแบบ HTML, VBScript หรือ JavaScript มาเป็นไฟล์แบบ .HTA ซึ่งจะถูกโหลดมาจากเซิร์ฟเวอร์ภายนอกที่สามารถสั่งการให้ตัว MSHTA ทำการรัน VBScript บนหน่วยความจำโดยตรง (In-Memory Execution) ซึ่งจะส่งผลให้ตัวระบบมองเห็นแค่การทำงานของตัว MSHTA แต่มองไม่เห็นว่ามีอะไรเกิดขึ้นภายในหน่วยความจำบ้าง ทำให้การบล็อกการทำงานของโค้ดมัลแวร์ที่ถูกรันผ่านทางช่องทางนี้ทำได้ยากยิ่ง ทำให้ทางเทคนิคแล้ว การคงตัว MSHTA ไว้บนระบบ เสมอเหมือนทางไมโครซอฟท์ทิ้งเครื่องมือไว้ให้แฮกเกอร์ทำการยิงมัลแวร์ด้วยวิธีการรันโค้ดจากระยะไกล หรือ RCE (Remote Code Execution) แบบ ฟรี ๆ
โดยมีมัลแวร์มากมายใช้วิธีการดังกล่าวในการเข้าสู่เครื่องของเหยื่อ เช่น มัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer อย่าง Lumma Stealer และ Amatera Stealer ที่มีการใช้งานตัวมัลแวร์นกต่อ (Loader) อย่าง HTA CountLoader โดยขั้นตอนจะเริ่มจากการหลอกเหยื่อด้วยวิธีการ Phishing ผ่านทางโซเชียลมีเดีย, ข้อความส่วนบุคคล (Direct Message), หรือผ่านทางการค้นหาด้วย Search Engine ผ่านทางการวางยาการค้นหาด้วยวิธีการ SEO-Poisoning ซึ่งหลังจากเหยื่อหลงกลและทำการดาวน์โหลดสิ่งที่อ้างว่าเป็นซอฟต์แวร์ฟรีลงมาติดตั้งเป็นที่เรียบร้อยแล้ว สิ่งที่ติดตั้งลงไปนั้นจะเป็นตัวแปลสคริปท์ Python (Python Interpreter) ที่ใช้ในการโหลด Python Runtime และ ตัวไฟล์สคริทป์สำหรับการรันบน MSHTA เพื่อดาวน์โหลดตัว HTA Loader จากเซิร์ฟเวอร์ C2 ลงมา แล้วใช้ตัว HTA Loader ถอดรหัสโค้ดมัลแวร์ รันลงไปยังหน่วยความจำโดยตรง
นอกจากแคมเปญข้างต้นแล้ว ยังมีการตรวจพบแคมเปญของมัลแวร์ตัวเดียวกันที่ใช้วิธีการที่แตกต่างออกไป ด้วยการหลอกลวงเหยื่อผ่านทางบริการแชทยอดนิยม Discord ซึ่งแฮกเกอร์จะหลอกเหยื่อเข้าไปยังหน้าเว็บไซต์ ที่มีการวางกับดักด้วยหน้ายืนยันตัวตน (Verification) ปลอมซึ่งจะมีคำสั่งหลอกให้เหยื่อกดปุ่ม CTRL+R เพื่อเปิดฟีเจอร์ Run แล้ว CTRL+V เพื่อวางสคริปท์แล้วรันสคริปท์ดังกล่าวไปยัง MSHTA โดยตรง ซึ่งเป็นวิธีการที่เรียกว่า ClickFix โดยหลังจากสคริปท์ถูกรันขึ้นมา ก็จะนำไปสู่การดาวน์โหลดและรันสคริปท์เพื่อให้มัลแวร์ Lumma Stealer และ Amatera Stealer ทำงานบนหน่วยความจำโดยตรง
ทางทีมวิจัยยังพบอีกว่า มัลแวร์ ClipBanker และ PurpleFox ยังได้ใช้ตัว MSHTA เพื่อปล่อยมัลแวร์ลงสู่เครื่องอีกด้วย ซึ่งทั้ง 2 ตัวนั้นจะใช้วิธีการที่แตกต่างกันนิดหน่อย นั่นคือ
- มัลแวร์ ClipBanker จะใช้งาน MSHTA เพื่อรัน HTA จากเซิร์ฟเวอร์ C2 นำไปสู่การดาวน์โหลดและรันสคริปท์ PowerShell เพื่อดาวน์โหลดและติดตั้งมัลแวร์ โดยมัลแวร์ตัวนี้มีความสามารถในการแทรกแซงข้อมูลบน Clipboard เพื่อเปลี่ยนที่อยู่ของกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) ให้เป็นกระเป๋าเงินของแฮกเกอร์ เพื่อให้เหยื่อโอนเงินผิด
- มัลแวร์ PurpleFox จะใช้สคริปท์ผ่าน Command Line เพื่อให้ฟีเจอร์ MSHTA รัน msiexec ขึ้นมา เพื่อดาวน์โหลดและรันไฟล์ Payload ในรูปแบบแพ็คเกจ MSI ที่ปลอมตัวเป็นไฟล์รูปภาพสกุล .PNG