Están usando un viejo fichero ejecutable de Windows 11, heredado de Internet Explorer, para introducir malware en los PC

WIndows tiene un dilema constante: mantener su compatibilidad con hardware y software antiguo, o romper con el pasado. Internet Explorer aún colea.
Una investigación de BitDefender ha descubierto que los hackers malignos están usando un fichero ejecutable de Windows 11 llamado MSHTA, heredado del mítico pero caducado Internet Explorer, para introduce diferentes tipos de malware en el ordenador.
Algunos de los problemas de seguridad de Windows 11 provienen de los ficheros heredados que contiene, para asegurar la compatibilidad con el hardware y software de hace décadas. Es algo de lo que no se puede culpar a Microsoft: muchas empresas siguen usando aplicaciones de hace décadas. Y resulta importante que instales un viejo juego o programa del siglo pasado, y siga funcionando en Windows 11.
Pero a veces hay debate sobre si un fichero heredado causa más problemas de los que soluciona. Parece que es el caso de MSHTA, según BitDefender.
MSHTA, un coladero de malware
Microsoft HTML Application Host o Host de aplicaciones HTML de Microsoft, abreviado a MSHTA, es un fichero ejecutable (mshta.exe) incluido en Windows 11, que tiene más de 30 años. Era una de las herramientas asociadas al navegador Internet Explorer.
El mítico navegador de Microsoft, que fue el más usado del mundo hasta que llegó Chrome, ya ha desaparecido de Windows, pero no así MSHTA.
Se trata de un software que ejecuta aplicaciones HTML con extensión .hta. Estas aplicaciones son una mezcla de HTML y lenguajes de script como VBScript o JScript. En el pasado se usaba para ejecutar apps de escritorio que empleaban el motor de Internet Explorer.
Microsoft ha detectado que hay gente que aún usa estas aplicaciones, por eso lo mantiene. El problema, según BitDefender, es que los ciberdelincuentes están usando MSHTA para introducir malware en el PC como LummaStealer, Amatera, ClipBanker, PurpleFox y CountLoader.
Lo que hacen es ejecutar scripts HTA a través de MSHTA para introducir malware directamente en memoria, sin necesidad de usar ficheros infectados, sorteando así los antivirus. Como MSHTA es una aplicación legítima de Windows, no levanta sospechas por sí misma.
BitDefender ha rastreado el uso de MSHTA en campañas masivas de distribución de malware y en amenazas más sofisticadas orientadas al sigilo, la persistencia y el control prolongado de sistemas comprometidos.
Hay poco que se pueda hacer, porque si borras mshta.exe, al ser un archivo del sistema, Windows volverá a instalarlo. Puedes bloquearlo aplicando políticas de grupo, para que no se ejecute. Pero lo más seguro sigue siendo lo de siempre, hace un examen rápido de tu sistema con el antivirus de vez en cuando.
Los sistemas heredados de Windows son necesarios, pero pueden ser usados para instalar malware, como ocurre con MSHTA. Por eso hay que estar siempre alerta frente a comportamientos extraños de tu ordenador. Tienes más información técnica sobre esta investigación en la web de BitDefender.
