Un insieme familiare di strumenti - PowerShell, WMI, certutil, mshta e contesti JavaScript - può consentire agli intrusi di mimetizzare l'attività del malware nella normale amministrazione, costringendo i difensori a esaminare il comportamento invece dei nomi dei file.
Un'esca su Google Sites che impersona Claude Code mostra come l'ingegneria sociale in stile ClickFix possa spingere le vittime a eseguire comandi Windows che preparano un presunto stealer in memoria.
Un'operazione di spear-phishing mirata, collegata a SideCopy, evidenzia come esche in lingua locale e malware di accesso remoto possano essere usati per sondare sistemi governativi di riscossione di alto valore.
Una vecchia utility Microsoft può ancora essere trasformata in un percorso di esecuzione furtivo, dimostrando che il pensionamento di Internet Explorer non comporta il pensionamento di tutti i rischi dell’era del browser.
Il ritorno di MSHTA nei kit degli aggressori mostra come un componente Windows affidabile possa ancora essere usato come percorso di distribuzione per famiglie di malware commodity come LummaStealer e Amatera.
MSHTA non è un exploit zero-day; è un host script di Windows affidabile che gli aggressori possono abusare come percorso di avvio a bassa frizione per malware commodity.
Una campagna attribuita a UAC-0184 combina la fase di staging con BITS, l'esecuzione tramite HTA e binari firmati, mostrando come i componenti Windows ordinari possano essere concatenati in un percorso di consegna furtivo.
Gli aggressori utilizzano sempre più spesso il legacy host Windows HTML Application di Microsoft per distribuire stealer, loader e malware persistente tramite phishing e falsi inviti al download.