Ataque de Agua Envenenada Apunta a Usuarios de EmEditor con Malware Roba-Información
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un instalador de EmEditor troyanizado se utilizó para distribuir una cadena de malware de múltiples etapas. El instalador comprometido obtiene scripts de PowerShell de dominios controlados por atacantes y luego descarga cargas útiles adicionales que cosechan credenciales, recopilan detalles del host y del entorno, y exfiltran los resultados. El mecanismo de entrega se alinea con una técnica de watering-hole, donde la ruta de descarga del proveedor es comprometida para llegar a usuarios que buscan software legítimo.
Investigación
El análisis determinó que el paquete MSI fue alterado para ejecutar un comando de PowerShell incrustado que contactaba dominios falsificados con temática de EmEditor. El script inicial descargó luego dos etapas adicionales responsables de comportamiento anti-análisis, robo de credenciales y huella digital del sistema, antes de transmitir los datos recopilados a un servidor de comando y control. La investigación documentó indicadores distintos, incluyendo cadenas únicas y URLs específicas utilizadas en toda la cadena de ejecución.
Mitigación
Verifique la integridad del instalador utilizando la validación de firma de código del proveedor y verificaciones de hash antes de la implementación. Aplique controles estrictos de PowerShell y monitoreo, y observe comportamientos asociados con la desactivación de ETW u otra telemetría. Implemente filtrado de red para los dominios maliciosos identificados y alerte sobre actividades HTTPS salientes anómalas.
Respuesta
Busque la línea de comando de PowerShell que hace referencia a los dominios maliciosos, bloquee los URLs/dominios asociados, aísle los puntos finales impactados, y preserve los artefactos forenses como el MSI alterado. Realice una revisión de la cadena de suministro del flujo de trabajo de distribución del proveedor y coordine la notificación a los usuarios y la guía para la remediación.
Flujo de Ataque
Detecciones
Descarga o Carga a través de Powershell (vía línea de comando)
Ver
Posible Proyecto NoMSbuild (vía powershell)
Ver
Llamada a Métodos .NET Sospechosos desde Powershell (vía powershell)
Ver
Cadenas de Powershell Sospechosas (vía powershell)
Ver
Comunicación C&C de Malware EmEditor y Huella Digital del Sistema [Conexión de Red de Windows]
Ver
Detección de Comandos de PowerShell Maliciosos Dirigidos a Usuarios de EmEditor [Windows Powershell]
Ver
Actividad Sospechosa Detectada en Instalador de EmEditor Comprometido [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Prerrequisito: Debe haberse aprobado el Chequeo Previo al Vuelo de Telemetría y Línea de Base.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque & Comandos:
Un adversario ha comprometido el paquete de instalación oficial de EmEditor. Después de que una víctima ejecuta el instalador, el binario malicioso se conecta al dominio C2 codificadocachingdrive.com/gate/init/2daef8cd. Esta solicitud de salida descarga una carga útil secundaria que eleva privilegios y cosecha credenciales. El atacante usa una línea de comando estándar de Windows (cmd.exe) para iniciar el instalador, asegurando que la URL maliciosa aparezca textualmente en el evento de creación de procesos, que coincide con la condición de coincidencia de cadenas de la regla Sigma. -
Script de Prueba de Regresión:
# -------------------------------------------------------------- # Ejecución maliciosa simulada de un instalador de EmEditor comprometido # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" $maliciousUrl = "https://cachingdrive.com/gate/init/2daef8cd" # Asegúrese de que el instalador exista (marcador de posición – en una prueba real, copie un exe benigno) if (-not (Test-Path $installerPath)) { Write-Error "Instalador no encontrado en $installerPath" exit 1 } # Ejecutar el instalador con el argumento malicioso Write-Host "[*] Lanzando instalador comprometido..." Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait Write-Host "[+] Ejecución completa. Verifique que la regla de detección se haya activado." # -------------------------------------------------------------- -
Comandos de Limpieza:
# -------------------------------------------------------------- # Eliminar cualquier artefacto dejado por la prueba simulada # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "[*] Instalador binario eliminado." } # (Opcional) Eliminar cargas útiles descargadas si se materializaron $downloadedPath = "$env:TEMPpayload.bin" if (Test-Path $downloadedPath) { Remove-Item $downloadedPath -Force Write-Host "[*] Carga maliciosa descargada eliminada." } # --------------------------------------------------------------