SOC Prime Bias: Crítico

27 Jan 2026 14:21 UTC

Ataque de Agua Envenenada Apunta a Usuarios de EmEditor con Malware Roba-Información

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Ataque de Agua Envenenada Apunta a Usuarios de EmEditor con Malware Roba-Información
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Un instalador de EmEditor troyanizado se utilizó para distribuir una cadena de malware de múltiples etapas. El instalador comprometido obtiene scripts de PowerShell de dominios controlados por atacantes y luego descarga cargas útiles adicionales que cosechan credenciales, recopilan detalles del host y del entorno, y exfiltran los resultados. El mecanismo de entrega se alinea con una técnica de watering-hole, donde la ruta de descarga del proveedor es comprometida para llegar a usuarios que buscan software legítimo.

Investigación

El análisis determinó que el paquete MSI fue alterado para ejecutar un comando de PowerShell incrustado que contactaba dominios falsificados con temática de EmEditor. El script inicial descargó luego dos etapas adicionales responsables de comportamiento anti-análisis, robo de credenciales y huella digital del sistema, antes de transmitir los datos recopilados a un servidor de comando y control. La investigación documentó indicadores distintos, incluyendo cadenas únicas y URLs específicas utilizadas en toda la cadena de ejecución.

Mitigación

Verifique la integridad del instalador utilizando la validación de firma de código del proveedor y verificaciones de hash antes de la implementación. Aplique controles estrictos de PowerShell y monitoreo, y observe comportamientos asociados con la desactivación de ETW u otra telemetría. Implemente filtrado de red para los dominios maliciosos identificados y alerte sobre actividades HTTPS salientes anómalas.

Respuesta

Busque la línea de comando de PowerShell que hace referencia a los dominios maliciosos, bloquee los URLs/dominios asociados, aísle los puntos finales impactados, y preserve los artefactos forenses como el MSI alterado. Realice una revisión de la cadena de suministro del flujo de trabajo de distribución del proveedor y coordine la notificación a los usuarios y la guía para la remediación.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: Debe haberse aprobado el Chequeo Previo al Vuelo de Telemetría y Línea de Base.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque & Comandos:
    Un adversario ha comprometido el paquete de instalación oficial de EmEditor. Después de que una víctima ejecuta el instalador, el binario malicioso se conecta al dominio C2 codificado cachingdrive.com/gate/init/2daef8cd. Esta solicitud de salida descarga una carga útil secundaria que eleva privilegios y cosecha credenciales. El atacante usa una línea de comando estándar de Windows (cmd.exe) para iniciar el instalador, asegurando que la URL maliciosa aparezca textualmente en el evento de creación de procesos, que coincide con la condición de coincidencia de cadenas de la regla Sigma.

  • Script de Prueba de Regresión:

    # --------------------------------------------------------------
    # Ejecución maliciosa simulada de un instalador de EmEditor comprometido
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    $maliciousUrl   = "https://cachingdrive.com/gate/init/2daef8cd"
    
    # Asegúrese de que el instalador exista (marcador de posición – en una prueba real, copie un exe benigno)
    if (-not (Test-Path $installerPath)) {
        Write-Error "Instalador no encontrado en $installerPath"
        exit 1
    }
    
    # Ejecutar el instalador con el argumento malicioso
    Write-Host "[*] Lanzando instalador comprometido..."
    Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait
    
    Write-Host "[+] Ejecución completa. Verifique que la regla de detección se haya activado."
    # --------------------------------------------------------------
  • Comandos de Limpieza:

    # --------------------------------------------------------------
    # Eliminar cualquier artefacto dejado por la prueba simulada
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    
    if (Test-Path $installerPath) {
        Remove-Item $installerPath -Force
        Write-Host "[*] Instalador binario eliminado."
    }
    
    # (Opcional) Eliminar cargas útiles descargadas si se materializaron
    $downloadedPath = "$env:TEMPpayload.bin"
    if (Test-Path $downloadedPath) {
        Remove-Item $downloadedPath -Force
        Write-Host "[*] Carga maliciosa descargada eliminada."
    }
    # --------------------------------------------------------------