SOC Prime Bias: Crítico

27 Jan 2026 17:21
newspaper icon Trend Micro

Ataque de Watering Hole Alvo os Usuários do EmEditor com Malware de Roubo de Informações

Author Photo
Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime linkedin icon Seguir
Ataque de Watering Hole Alvo os Usuários do EmEditor com Malware de Roubo de Informações
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Um instalador do EmEditor comprometido foi usado para distribuir uma cadeia de malware em várias etapas. O instalador comprometido obtém scripts PowerShell de domínios controlados pelo invasor e, em seguida, busca cargas úteis subsequentes que coletam credenciais, detalhes do host e do ambiente, e exfiltram os resultados. O mecanismo de entrega se alinha a uma técnica de watering-hole, onde o caminho de download do fornecedor é comprometido para alcançar usuários que procuram software legítimo.

Investigação

A análise determinou que o pacote MSI foi alterado para executar um comando PowerShell incorporado que contatava domínios falsificados com tema EmEditor. O script inicial então baixava duas etapas adicionais responsáveis por comportamentos de anti-análise, roubo de credenciais e fingerprinting do sistema, antes de transmitir os dados coletados para um servidor de comando e controle. A investigação documentou indicadores distintos, incluindo strings únicas e URLs específicos usados em toda a cadeia de execução.

Mitigação

Verifique a integridade do instalador usando a validação de assinaturas de código do fornecedor e verificações de hash antes da implantação. Aplique controles rigorosos de PowerShell e monitoramento, e procure por comportamentos associados à desativação de ETW ou outras telemetrias. Implemente filtragem de rede para os domínios maliciosos identificados e alerte sobre atividades HTTPS de saída anômalas.

Resposta

Procure pela linha de comando do PowerShell referenciando os domínios maliciosos, bloqueie os URLs/domínios associados, isole os endpoints impactados e preserve artefatos forenses como o MSI adulterado. Realize uma revisão da cadeia de suprimentos do fluxo de distribuição do fornecedor e coordene a notificação dos usuários e orientação de remediação.

“graph TB %% Class definitions classDef technique fill:#ffcc99 classDef file fill:#e6e6fa classDef command fill:#add8e6 classDef server fill:#ffd700 classDef tool fill:#d3d3d3 %% Technique nodes tech_T1195[“<b>Técnica</b> – T1195 Comprometimento da Cadeia de Suprimentos:<br/>Comprometimento de uma cadeia de suprimentos de software para distribuir uma carga maliciosa.”] class tech_T1195 technique tech_T1199[“<b>Técnica</b> – T1199 Relação Confiável:<br/>Uso de uma relação de fornecedor confiável para entregar conteúdo malicioso.”] class tech_T1199 technique tech_T1546_016[“<b>Técnica</b> – T1546.016 Execução Disparada por Evento (Pacotes de Instalação):<br/>CustomAction em MSI executa um script quando o instalador é executado.”] class tech_T1546_016 technique tech_T1059_001[“<b>Técnica</b> – T1059.001 PowerShell:<br/>Execução de comandos PowerShell para baixar e executar cargas.”] class tech_T1059_001 technique tech_T1027[“<b>Técnica</b> – T1027 Arquivos ou Informações Ofuscadas:<br/>As cargas são fortemente ofuscadas usando manipulação de strings e codificação.”] class tech_T1027 technique tech_T1620[“<b>Técnica</b> – T1620 Carregamento de Código Reflexivo:<br/>Código malicioso é carregado na memória de forma reflexiva sem tocar no disco.”] class tech_T1620 technique tech_T1497[“<b>Técnica</b> – T1497 Evasão de Virtualização/Sandbox:<br/>Verifica ambientes de análise usando atividade do usuário e lógica baseada no tempo.”] class tech_T1497 technique tech_T1218_007[“<b>Técnica</b> – T1218.007 Execução de Proxy Binário do Sistema:<br/>Msiexec é usado como um binário confiável para lançar o MSI malicioso.”] class tech_T1218_007 technique tech_T1555_004[“<b>Técnica</b> – T1555.004 Credenciais de Armazenamento de Senhas:<br/>Extração de credenciais armazenadas no Gerenciador de Credenciais do Windows.”] class tech_T1555_004 technique tech_T1082[“<b>Técnica</b> – T1082 Descoberta de Informações do Sistema:<br/>Coleta detalhes de SO, hardware e software.”] class tech_T1082 technique tech_T1016_001[“<b>Técnica</b> – T1016.001 Descoberta de Conexão com a Internet:<br/>Determina o status de conectividade da rede.”] class tech_T1016_001 technique tech_T1592_002[“<b>Técnica</b> – T1592.002 Coletar Informações do Host da Vítima (Software):<br/>Enumera aplicações e versões instaladas.”] class tech_T1592_002 technique tech_T1102[“<b>Técnica</b> – T1102 Serviço Web:<br/>Usa serviços web HTTPS para comunicação de comando e controle.”] class tech_T1102 technique tech_T1090_002[“<b>Técnica</b> – T1090.002 Proxy Externo Proxy:<br/>O tráfego é roteado por um servidor proxy externo.”] class tech_T1090_002 technique tech_T1070_001[“<b>Técnica</b> – T1070.001 Remoção de Indicadores (Limpeza de Logs de Eventos do Windows):<br/>Desativa ETW e limpa logs para esconder atividade.”] class tech_T1070_001 technique tech_T1546_013[“<b>Técnica</b> – T1546.013 Execução Disparada por Evento (Perfil PowerShell):<br/>Persistência via script de perfil PowerShell malicioso.”] class tech_T1546_013 technique tech_T1068[“<b>Técnica</b> – T1068 Exploração para Escalação de Privilégios:<br/>Uso potencial de explorações locais para obter privilégios elevados.”] class tech_T1068 technique %% File, tool, command and server nodes file_msi[“<b>Arquivo</b> – EmEditor.msi:<br/>Instalador MSI comprometido hospedado na página de download do fornecedor.”] class file_msi file tool_msiexec[“<b>Ferramenta</b> – Msiexec:<br/>Executável do Instalador do Windows usado para executar o MSI malicioso.”] class tool_msiexec tool command_ps[“<b>Comando</b> – PowerShell:<br/>CustomAction executa PowerShell que baixa scripts via Invoke-WebRequest.”] class command_ps command server_c2[“<b>Servidor</b> – C2 HTTPS:<br/>https://cachingdrive.com/gate/init/2daef8cd”] class server_c2 server %% Connections showing attack flow tech_T1195 u002du002d>|entrega| file_msi tech_T1199 u002du002d>|baixa| file_msi file_msi u002du002d>|executado por| tool_msiexec tool_msiexec u002du002d>|dispara| tech_T1546_016 tech_T1546_016 u002du002d>|executa| command_ps command_ps u002du002d>|executa| tech_T1059_001 command_ps u002du002d>|usa ofuscação| tech_T1027 command_ps u002du002d>|carrega código reflexivamente| tech_T1620 command_ps u002du002d>|executa verificações de sandbox| tech_T1497 command_ps u002du002d>|execução de proxy via msiexec| tech_T1218_007 command_ps u002du002d>|extrai credenciais| tech_T1555_004 command_ps u002du002d>|coleta informações do sistema| tech_T1082 command_ps u002du002d>|descobre conexão com a internet| tech_T1016_001 command_ps u002du002d>|enumera software| tech_T1592_002 command_ps u002du002d>|se comunica com| server_c2 server_c2 u002du002d>|usa| tech_T1102 server_c2 u002du002d>|roteia por| tech_T1090_002 command_ps u002du002d>|limpa logs| tech_T1070_001 command_ps u002du002d>|estabelece persistência| tech_T1546_013 command_ps u002du002d>|pode disparar| tech_T1068 “

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check pré-voo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa e Comandos de Ataque:
    Um adversário comprometeu o pacote de instalador oficial do EmEditor. Após uma vítima executar o instalador, o binário malicioso contata o domínio de C2 codificado cachingdrive.com/gate/init/2daef8cd. Esta solicitação de saída baixa uma carga útil secundária que eleva privilégios e coleta credenciais. O invasor usa uma linha de comando padrão do Windows (cmd.exe) para iniciar o instalador, garantindo que a URL maliciosa apareça literalmente no evento de criação de processo, que corresponde à condição de correspondência de string da regra Sigma.

  • Script de Teste de Regressão:

    # --------------------------------------------------------------
# Execução simulada maliciosa de um instalador do EmEditor comprometido
# --------------------------------------------------------------
$installerPath = "C:TempEmEditorSetup.exe"
$maliciousUrl   = "https://cachingdrive.com/gate/init/2daef8cd"

# Certifique-se de que o instalador exista (placeholder – em um teste real, copie um exe inofensivo)
if (-not (Test-Path $installerPath)) {
    Write-Error "Instalador não encontrado em $installerPath"
    exit 1
}

# Execute o instalador com o argumento malicioso
Write-Host "[*] Iniciando o instalador comprometido..."
Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait

Write-Host "[+] Execução completa. Verifique se a regra de detecção foi acionada."
# --------------------------------------------------------------

  • Comandos de Limpeza:

    # --------------------------------------------------------------
# Remova qualquer artefato deixado pelo teste simulado
# --------------------------------------------------------------
$installerPath = "C:TempEmEditorSetup.exe"

if (Test-Path $installerPath) {
    Remove-Item $installerPath -Force
    Write-Host "[*] Removido o binário do instalador."
}

# (Opcional) Exclua as cargas úteis baixadas se elas foram materializadas
$downloadedPath = "$env:TEMPpayload.bin"
if (Test-Path $downloadedPath) {
    Remove-Item $downloadedPath -Force
    Write-Host "[*] Removido carga útil maliciosa baixada."
}
# --------------------------------------------------------------

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente