Ataque de Watering Hole Alvo os Usuários do EmEditor com Malware de Roubo de Informações
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um instalador do EmEditor comprometido foi usado para distribuir uma cadeia de malware em várias etapas. O instalador comprometido obtém scripts PowerShell de domínios controlados pelo invasor e, em seguida, busca cargas úteis subsequentes que coletam credenciais, detalhes do host e do ambiente, e exfiltram os resultados. O mecanismo de entrega se alinha a uma técnica de watering-hole, onde o caminho de download do fornecedor é comprometido para alcançar usuários que procuram software legítimo.
Investigação
A análise determinou que o pacote MSI foi alterado para executar um comando PowerShell incorporado que contatava domínios falsificados com tema EmEditor. O script inicial então baixava duas etapas adicionais responsáveis por comportamentos de anti-análise, roubo de credenciais e fingerprinting do sistema, antes de transmitir os dados coletados para um servidor de comando e controle. A investigação documentou indicadores distintos, incluindo strings únicas e URLs específicos usados em toda a cadeia de execução.
Mitigação
Verifique a integridade do instalador usando a validação de assinaturas de código do fornecedor e verificações de hash antes da implantação. Aplique controles rigorosos de PowerShell e monitoramento, e procure por comportamentos associados à desativação de ETW ou outras telemetrias. Implemente filtragem de rede para os domínios maliciosos identificados e alerte sobre atividades HTTPS de saída anômalas.
Resposta
Procure pela linha de comando do PowerShell referenciando os domínios maliciosos, bloqueie os URLs/domínios associados, isole os endpoints impactados e preserve artefatos forenses como o MSI adulterado. Realize uma revisão da cadeia de suprimentos do fluxo de distribuição do fornecedor e coordene a notificação dos usuários e orientação de remediação.
Fluxo de Ataque
Detecções
Download ou Upload via PowerShell (via linha de comando)
Ver
Possível Projeto NoMSbuild (via PowerShell)
Ver
Chamar Métodos .NET Suspeitos do PowerShell (via PowerShell)
Ver
Strings Suspeitas do PowerShell (via PowerShell)
Ver
Comunicação de C&C e Impressão Digital de Sistema do Malware EmEditor [Conexão de Rede Windows]
Ver
Detecção de Comandos Maliciosos PowerShell Alvejando Usuários do EmEditor [Windows PowerShell]
Ver
Atividade Suspeita Detectada no Instalador Comprometido do EmEditor [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check pré-voo de Telemetria & Baseline deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa e Comandos de Ataque:
Um adversário comprometeu o pacote de instalador oficial do EmEditor. Após uma vítima executar o instalador, o binário malicioso contata o domínio de C2 codificadocachingdrive.com/gate/init/2daef8cd. Esta solicitação de saída baixa uma carga útil secundária que eleva privilégios e coleta credenciais. O invasor usa uma linha de comando padrão do Windows (cmd.exe) para iniciar o instalador, garantindo que a URL maliciosa apareça literalmente no evento de criação de processo, que corresponde à condição de correspondência de string da regra Sigma. -
Script de Teste de Regressão:
# -------------------------------------------------------------- # Execução simulada maliciosa de um instalador do EmEditor comprometido # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" $maliciousUrl = "https://cachingdrive.com/gate/init/2daef8cd" # Certifique-se de que o instalador exista (placeholder – em um teste real, copie um exe inofensivo) if (-not (Test-Path $installerPath)) { Write-Error "Instalador não encontrado em $installerPath" exit 1 } # Execute o instalador com o argumento malicioso Write-Host "[*] Iniciando o instalador comprometido..." Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait Write-Host "[+] Execução completa. Verifique se a regra de detecção foi acionada." # -------------------------------------------------------------- -
Comandos de Limpeza:
# -------------------------------------------------------------- # Remova qualquer artefato deixado pelo teste simulado # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "[*] Removido o binário do instalador." } # (Opcional) Exclua as cargas úteis baixadas se elas foram materializadas $downloadedPath = "$env:TEMPpayload.bin" if (Test-Path $downloadedPath) { Remove-Item $downloadedPath -Force Write-Host "[*] Removido carga útil maliciosa baixada." } # --------------------------------------------------------------