SOC Prime Bias: Critique

27 Jan 2026 14:21 UTC

Attaque Point d’Eau Cible les Utilisateurs d’EmEditor avec un Malware Voleur d’Informations

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Attaque Point d’Eau Cible les Utilisateurs d’EmEditor avec un Malware Voleur d’Informations
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Un installateur d’EmEditor infecté par un cheval de Troie a été utilisé pour distribuer une chaîne de logiciels malveillants à plusieurs étapes. L’installateur compromis extrait des scripts PowerShell à partir de domaines contrôlés par des attaquants, puis récupère des charges utiles complémentaires qui collectent des informations d’identification, des détails sur l’hôte et l’environnement, et exfiltrent les résultats. Le mécanisme de livraison s’aligne avec une technique de point d’eau, où le chemin de téléchargement du fournisseur est compromis pour atteindre les utilisateurs cherchant un logiciel légitime.

Enquête

L’analyse a déterminé que le paquet MSI avait été modifié pour exécuter une commande PowerShell intégrée qui contacte des domaines usurpés à thème EmEditor. Le script initial télécharge ensuite deux étapes supplémentaires responsables d’un comportement anti-analyse, du vol d’identifiants, et du profilage système, avant de transmettre les données collectées à un serveur de commande et de contrôle. L’enquête a documenté des indicateurs distincts, comprenant des chaînes uniques et des URL spécifiques utilisées tout au long de la chaîne d’exécution.

Atténuation

Vérifiez l’intégrité de l’installateur en utilisant la validation de signature du fournisseur et des vérifications de hachage avant le déploiement. Appliquez des contrôles et une surveillance stricts de PowerShell, et surveillez les comportements associés à la désactivation d’ETW ou d’autres télémetries. Mettez en place un filtrage réseau pour les domaines malveillants identifiés et alertez sur une activité HTTPS sortante anormale.

Réponse

Recherchez la ligne de commande PowerShell faisant référence aux domaines malveillants, bloquez les URL/domaines associés, isolez les points d’extrémité impactés, et préservez les artefacts forensiques tels que le MSI modifié. Effectuez un examen de la chaîne d’approvisionnement du flux de distribution du fournisseur et coordonnez la notification des utilisateurs et des conseils de remédiation.

Flux d’attaque

Exécution de simulation

Prérequis: La vérification préalable de la télémétrie et de la ligne de base doit être réussie.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.

  • Récit de l’attaque et commandes :
    Un adversaire a compromis le paquet installateur officiel d’EmEditor. Après qu’une victime exécute l’installateur, le binaire malveillant contacte le domaine C2 codé en dur cachingdrive.com/gate/init/2daef8cd. Cette requête sortante télécharge une charge utile secondaire qui élève les privilèges et collecte les identifiants. L’attaquant utilise une ligne de commande Windows standard (cmd.exe) pour lancer l’installateur, garantissant que l’URL malveillante apparaît littéralement dans l’événement de création de processus, ce qui correspond à la condition de correspondance de chaîne de la règle Sigma.

  • Script de test de régression :

    # --------------------------------------------------------------
    # Exécution malveillante simulée d'un installateur EmEditor compromis
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    $maliciousUrl   = "https://cachingdrive.com/gate/init/2daef8cd"
    
    # Assurez-vous que l'installateur existe (placeholder – dans un vrai test, copiez un exe bénin)
    if (-not (Test-Path $installerPath)) {
        Write-Error "Installateur non trouvé à $installerPath"
        exit 1
    }
    
    # Exécuter l'installateur avec l'argument malveillant
    Write-Host "[*] Lancement de l'installateur compromis..."
    Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait
    
    Write-Host "[+] Exécution terminée. Vérifiez que la règle de détection a été déclenchée."
    # --------------------------------------------------------------
  • Commandes de nettoyage :

    # --------------------------------------------------------------
    # Supprimez tous les artefacts laissés par le test simulé
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    
    if (Test-Path $installerPath) {
        Remove-Item $installerPath -Force
        Write-Host "[*] Fichier binaire de l'installateur supprimé."
    }
    
    # (Optionnel) Supprimez les charges utiles téléchargées si elles ont été matérialisées
    $downloadedPath = "$env:TEMPpayload.bin"
    if (Test-Path $downloadedPath) {
        Remove-Item $downloadedPath -Force
        Write-Host "[*] Charge utile malveillante téléchargée supprimée."
    }
    # --------------------------------------------------------------