SOC Prime Bias: Critico

27 Jan 2026 14:21 UTC

L’Attacco Watering Hole Mira agli Utenti di EmEditor con Malware per il Furto di Informazioni

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
L’Attacco Watering Hole Mira agli Utenti di EmEditor con Malware per il Furto di Informazioni
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Un installatore di EmEditor trojanizzato è stato sfruttato per distribuire una catena di malware a più stadi. L’installatore compromesso estrae script PowerShell da domini controllati da attaccanti e quindi recupera carichi utili successivi che raccolgono credenziali, dettagli dell’host e dell’ambiente, ed esfiltrano i risultati. Il meccanismo di distribuzione si allinea con una tecnica di watering-hole, in cui il percorso di download del fornitore è compromesso per raggiungere gli utenti che cercano software legittimo.

Indagine

L’analisi ha determinato che il pacchetto MSI è stato modificato per eseguire un comando PowerShell incorporato che contattava domini spoofing a tema EmEditor. Lo script iniziale ha quindi scaricato due fasi aggiuntive responsabili del comportamento anti-analisi, del furto di credenziali e del fingerprinting del sistema, prima di trasmettere i dati raccolti a un server di comando e controllo. L’indagine ha documentato indicatori distintivi, inclusi stringhe uniche e URL specifici utilizzati lungo la catena di esecuzione.

Mitigazione

Verifica l’integrità dell’installatore utilizzando la convalida della firma del codice del fornitore e il controllo degli hash prima del deploy. Applica controlli PowerShell strict e monitoraggio, e osserva comportamenti associati alla disattivazione di ETW o altre telemetrie. Implementa il filtraggio della rete per i domini malevoli identificati e allerta su attività HTTPS in uscita anomale.

Risposta

Cerca la linea di comando PowerShell che fa riferimento ai domini malevoli, blocca gli URL/domini associati, isola gli endpoint interessati e conserva i reperti forensi come il MSI alterato. Esegui una revisione della catena di fornitura del flusso di distribuzione del fornitore e coordina la notifica agli utenti e le linee guida per la remediation.

Flusso di Attacco

Esecuzione Simulation

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere stato superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) designata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa e Comandi di Attacco:
    Un avversario ha compromesso il pacchetto ufficiale dell’installatore di EmEditor. Dopo che una vittima esegue l’installatore, il binario malevolo contatta il dominio C2 codificato cachingdrive.com/gate/init/2daef8cd. Questa richiesta in uscita scarica un payload secondario che eleva i privilegi e raccoglie credenziali. L’attaccante utilizza una linea di comando standard di Windows (cmd.exe) per avviare l’installatore, assicurandosi che l’URL malevolo appaia testualmente nell’evento di creazione processo, corrispondente alla condizione di corrispondenza della stringa della regola Sigma.

  • Script di Test di Regressione:

    # --------------------------------------------------------------
    # Esecuzione malevola simulata di un installatore di EmEditor compromesso
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    $maliciousUrl   = "https://cachingdrive.com/gate/init/2daef8cd"
    
    # Assicurati che l'installatore esista (segnaposto – in un test reale, copia un exe innocuo)
    if (-not (Test-Path $installerPath)) {
        Write-Error "Installer non trovato a $installerPath"
        exit 1
    }
    
    # Esegui l'installatore con l'argomento malevolo
    Write-Host "[*] Avvio installatore compromesso..."
    Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait
    
    Write-Host "[+] Esecuzione completa. Verifica che la regola di rilevamento sia stata attivata."
    # --------------------------------------------------------------
  • Comandi di Pulizia:

    # --------------------------------------------------------------
    # Rimuovi eventuali elementi residui lasciati dal test simulato
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    
    if (Test-Path $installerPath) {
        Remove-Item $installerPath -Force
        Write-Host "[*] Rimosso il binario dell'installatore."
    }
    
    # (Opzionale) Elimina payload scaricati se si sono materializzati
    $downloadedPath = "$env:TEMPpayload.bin"
    if (Test-Path $downloadedPath) {
        Remove-Item $downloadedPath -Force
        Write-Host "[*] Rimosso il payload malevolo scaricato."
    }
    # --------------------------------------------------------------