5 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a mshta.
Pesquisadores da Cyfirma identificaram uma campanha atribuída ao APT36 que usa arquivos .pdf.lnk e mshta.exe para carregar um HTA remoto e executar um RAT em memória contra entidades governamentais indianas. A técnica inclui atalhos grandes com PDFs embutidos, decodificação em memória e comunicação C2 cifrada; não há números públicos de vítimas nem lista completa de IOCs.
Relatório da Huntress mostra campanha ClickFix que usa engenharia social (Win+R) e esteganografia em PNG para ocultar shellcode. Payloads finais incluem LummaC2 e Rhadamanthys; mitigação passa por treinamento e bloqueio de mshta/Run.
A análise da Alyac documenta o KimJongRAT: campanha de phishing que usa atalhos (.lnk) e MSHTA para baixar um payload (tax.hta). O loader em VBScript verifica Windows Defender e escolhe entre <code>v3.log</code> ou <code>pipe.log</code> antes de executar o payload que procura credenciais, chaves e informações de carteiras de criptomoedas.
Clusters ClickFix usam uma falsa tela de Windows Update e um loader .NET que esconde shellcode em pixels de PNG para entregar info-stealers (LummaC2, Rhadamanthys). IoCs incluem 141.98.80[.]175 e domínios como securitysettings[.]live; mitigação inclui desabilitar Run e monitorar EDR.
A campanha SmartApeSG (ZPHP/HANEY MANEY) adotou uma técnica tipo ClickFix que exibe um CAPTCHA falso em sites comprometidos; ao clicar, o clipboard recebe um comando que usa mshta para baixar e executar NetSupport RAT, com persistência via atalho no Start Menu.