Ve Windows se znovu ukazuje problém, který není nový, ale o to nepříjemnější. Bezpečnostní společnost Bitdefender ve zprávě zveřejněné 19. května 2026 upozornila na rostoucí zneužívání nástroje Microsoft HTML Application Host, známého jako MSHTA. Jde o legitimní součást Windows, která slouží ke spouštění souborů HTA, tedy HTML aplikací schopných pracovat přímo se systémem.

Právě v tom je problém. Zatímco běžná webová stránka běží v prohlížeči, HTA soubor může spouštět skripty a komunikovat s Windows mnohem volněji. MSHTA navíc patří mezi nástroje podepsané Microsoftem, takže na první pohled nemusí působit podezřele. Pro útočníky je to lákavá cesta, jak schovat škodlivý kód za běžný systémový proces.

Od začátku roku 2026 aktivita roste

Bitdefender uvádí, že zvýšenou aktivitu kolem mshta.exe sleduje od začátku roku 2026. Podle výzkumníků přitom nejde o návrat legitimního administrátorského používání, ale spíše o známku častějšího zneužívání. Důvod je jednoduchý: běžné využití MSHTA postupně mizí, zatímco útočníci ho stále dokážou zapojit do moderních infekčních řetězců.

V analyzovaných kampaních se objevují jak jednodušší hrozby, tak pokročilejší malware. Na běžnějším konci spektra Bitdefender zmiňuje infostealery Amatera a LummaStealer. Ty se zaměřují hlavně na krádeže přihlašovacích údajů, uložených dat z prohlížečů nebo dalších citlivých informací. MSHTA se ale používá také při nasazování loaderů, například CountLoaderu nebo Emmenthalu, které mohou sloužit jako mezistupeň pro stažení dalšího škodlivého softwaru.

Ještě vážnější je nasazení hrozeb jako ClipBanker a PurpleFox. ClipBanker se typicky zaměřuje na manipulaci s obsahem schránky, například při kopírování adres kryptoměnových peněženek. PurpleFox je známý jako vytrvalejší malware, který se může v systému držet déle a útočníkům otevírat další možnosti.

Proč MSHTA pořád představuje riziko

MSHTA je typickým příkladem techniky označované jako living off the land. Útočník nepřináší do systému jen vlastní podezřelý program, ale zneužije nástroj, který už ve Windows existuje. Obrana je pak složitější, protože samotná přítomnost mshta.exe nemusí automaticky znamenat infekci.

Podle Bitdefenderu právě šíře zneužití ukazuje, proč by firmy neměly staré skriptovací nástroje přehlížet. Nejde o jednu konkrétní rodinu malwaru ani jeden typ útoku. Stejný mechanismus se může objevit u rychlých podvodných kampaní, falešných stažení, sociálního inženýrství i u déle vedených kompromitací.

Doporučení míří hlavně na organizace, ale smysl dávají i běžným uživatelům. Firmy by měly tam, kde to provoz dovolí, omezit spouštění nástrojů jako mshta.exe a wscript.exe, sledovat podezřelé příkazové řádky a nasadit vrstvenou ochranu schopnou zachytit škodlivé skripty. Uživatelé by se měli vyhnout spouštění neznámých souborů a příkazů, zejména pokud je k tomu tlačí podvodná stránka, falešné ověření nebo návod z nedůvěryhodného zdroje.