La nuova ricerca di Bitdefender riporta l’attenzione sui malware e MSHTA, una vecchia utility di Microsoft ancora presente nei sistemi Windows: gli hacker la usano per eseguire script malevoli, scaricare payload da remoto e nascondere attività dannose dietro processi legittimi. Le campagne analizzate includono stealer, attacchi fileless, esche ClickFix e falsi download software. Un caso che mostra quanto le componenti legacy restino un problema nella sicurezza moderna.

MSHTA malware: perché torna utile agli hacker

MSHTA nasce come utility legata all’esecuzione di applicazioni HTML: il problema è che può essere usata anche per avviare script dannosi, recuperare file da remoto e costruire catene di attacco difficili da intercettare.

Internet Explorer non è più supportato da anni, ma MSHTA resta abilitato per impostazione predefinita. Proprio questa persistenza lo rende appetibile per i criminali informatici.

Gli attaccanti approfittano del fatto che si tratta di un componente firmato da Microsoft, quindi può sembrare meno sospetto rispetto a un eseguibile sconosciuto scaricato da internet.

MSHTA malware e attacchi in più fasi

La ricerca di Bitdefender descrive campagne costruite in più passaggi: non c’è un singolo file malevolo che entra e fa tutto. Piuttosto, l’attacco si muove attraverso script HTA, PowerShell e payload caricati direttamente in memoria.

Questa struttura rende l’infezione più difficile da riconoscere. Gli strumenti di difesa tradizionali possono intercettare un file sospetto, ma faticano di più quando il codice viene eseguito in modo fileless o tramite componenti già presenti nel sistema.

Tra le famiglie malware citate compaiono LummaStealer, Amatera, ClipBanker, PurpleFox e CountLoader.

Il quadro è ampio: si passa dai classici password stealer a minacce più articolate. Inoltre, alcune campagne puntano anche a modificare o intercettare dati sensibili, come credenziali e informazioni legate ai wallet.

ClickFix e falsi download restano armi efficaci

Gli hacker non usano solo tecniche tecniche, spesso partono da una leva molto più semplice: convincere l’utente a fare clic.

Le esche ClickFix sono un esempio perfetto: l’utente vede un falso problema, una falsa verifica o un messaggio che sembra guidarlo verso una correzione rapida. In realtà, quel passaggio avvia la catena di infezione.

A questo si aggiungono falsi download di software, pagine costruite per sembrare legittime e contenuti pirata usati come richiamo. Bitdefender ha collegato questo approccio anche a campagne precedenti basate su false inserzioni Google e versioni fraudolente di strumenti noti.

Il meccanismo resta sempre simile: l’utente pensa di installare, aggiornare o correggere qualcosa. Invece apre la porta al malware.

Le utility legacy sono ancora un rischio

Il caso mostra un problema più profondo: Windows include molti strumenti storici pensati per compatibilità, automazione o gestione interna. Nelle mani giuste sono utili, nelle mani sbagliate diventano scorciatoie pericolose.

Queste tecniche rientrano nella logica Living-off-the-Land, dove gli attaccanti usano strumenti legittimi del sistema per ridurre i segnali sospetti.

È una strategia efficace perché non richiede sempre malware vistosi. Basta combinare utility esistenti, script e comandi apparentemente normali per creare una catena d’attacco credibile e meno rumorosa.

Per le aziende, questo complica il lavoro dei team IT: non basta bloccare file sconosciuti, serve osservare il comportamento del sistema, capire quando un processo legittimo fa qualcosa di anomalo e intervenire prima che il payload venga eseguito.

Come ridurre il rischio su Windows

La prima difesa resta la prudenza. Nessun utente dovrebbe copiare comandi, avviare script o seguire procedure “correttive” trovate su pagine dubbie, pop-up o falsi avvisi.

Conviene scaricare software solo da siti ufficiali e store affidabili. Inoltre, bisogna diffidare dei finti aggiornamenti, dei download pirata e delle pagine che chiedono azioni insolite per “sbloccare” un contenuto.

In ambito aziendale, serve una gestione più rigorosa delle utility legacy: MSHTA e strumenti simili possono essere limitati, monitorati o disabilitati dove non servono. Inoltre, una protezione moderna deve analizzare PowerShell, script, memoria e comportamenti sospetti.

La formazione resta decisiva. Gli attacchi più efficaci non puntano solo sulle vulnerabilità tecniche, ma sulla fretta e sulla fiducia degli utenti.

La sicurezza passa anche dalle vecchie componenti

La ricerca di Bitdefender ricorda che il malware moderno non ha sempre bisogno di tecnologie nuove, a volte sfrutta proprio ciò che è rimasto nei sistemi per ragioni di compatibilità.

MSHTA è un esempio perfetto: vecchio, legittimo, ancora disponibile e quindi utile per chi vuole confondersi tra attività normali di Windows.

Per questo la sicurezza non può limitarsi agli aggiornamenti più recenti o alle minacce più pubblicizzate. Bisogna guardare anche alle componenti legacy, ai processi firmati e agli strumenti che l’utente medio non conosce.

Gli hacker cercano percorsi affidabili, non per forza spettacolari, e finché utility come MSHTA resteranno accessibili senza controlli adeguati, continueranno a essere usate nelle campagne malware più ingannevoli.