SOC Prime Bias: Crítico

27 Jan 2026 14:21 UTC

Ataque de Watering Hole Alvo os Usuários do EmEditor com Malware de Roubo de Informações

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Ataque de Watering Hole Alvo os Usuários do EmEditor com Malware de Roubo de Informações
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Um instalador do EmEditor comprometido foi usado para distribuir uma cadeia de malware em várias etapas. O instalador comprometido obtém scripts PowerShell de domínios controlados pelo invasor e, em seguida, busca cargas úteis subsequentes que coletam credenciais, detalhes do host e do ambiente, e exfiltram os resultados. O mecanismo de entrega se alinha a uma técnica de watering-hole, onde o caminho de download do fornecedor é comprometido para alcançar usuários que procuram software legítimo.

Investigação

A análise determinou que o pacote MSI foi alterado para executar um comando PowerShell incorporado que contatava domínios falsificados com tema EmEditor. O script inicial então baixava duas etapas adicionais responsáveis por comportamentos de anti-análise, roubo de credenciais e fingerprinting do sistema, antes de transmitir os dados coletados para um servidor de comando e controle. A investigação documentou indicadores distintos, incluindo strings únicas e URLs específicos usados em toda a cadeia de execução.

Mitigação

Verifique a integridade do instalador usando a validação de assinaturas de código do fornecedor e verificações de hash antes da implantação. Aplique controles rigorosos de PowerShell e monitoramento, e procure por comportamentos associados à desativação de ETW ou outras telemetrias. Implemente filtragem de rede para os domínios maliciosos identificados e alerte sobre atividades HTTPS de saída anômalas.

Resposta

Procure pela linha de comando do PowerShell referenciando os domínios maliciosos, bloqueie os URLs/domínios associados, isole os endpoints impactados e preserve artefatos forenses como o MSI adulterado. Realize uma revisão da cadeia de suprimentos do fluxo de distribuição do fornecedor e coordene a notificação dos usuários e orientação de remediação.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check pré-voo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa e Comandos de Ataque:
    Um adversário comprometeu o pacote de instalador oficial do EmEditor. Após uma vítima executar o instalador, o binário malicioso contata o domínio de C2 codificado cachingdrive.com/gate/init/2daef8cd. Esta solicitação de saída baixa uma carga útil secundária que eleva privilégios e coleta credenciais. O invasor usa uma linha de comando padrão do Windows (cmd.exe) para iniciar o instalador, garantindo que a URL maliciosa apareça literalmente no evento de criação de processo, que corresponde à condição de correspondência de string da regra Sigma.

  • Script de Teste de Regressão:

    # --------------------------------------------------------------
    # Execução simulada maliciosa de um instalador do EmEditor comprometido
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    $maliciousUrl   = "https://cachingdrive.com/gate/init/2daef8cd"
    
    # Certifique-se de que o instalador exista (placeholder – em um teste real, copie um exe inofensivo)
    if (-not (Test-Path $installerPath)) {
        Write-Error "Instalador não encontrado em $installerPath"
        exit 1
    }
    
    # Execute o instalador com o argumento malicioso
    Write-Host "[*] Iniciando o instalador comprometido..."
    Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait
    
    Write-Host "[+] Execução completa. Verifique se a regra de detecção foi acionada."
    # --------------------------------------------------------------
  • Comandos de Limpeza:

    # --------------------------------------------------------------
    # Remova qualquer artefato deixado pelo teste simulado
    # --------------------------------------------------------------
    $installerPath = "C:TempEmEditorSetup.exe"
    
    if (Test-Path $installerPath) {
        Remove-Item $installerPath -Force
        Write-Host "[*] Removido o binário do instalador."
    }
    
    # (Opcional) Exclua as cargas úteis baixadas se elas foram materializadas
    $downloadedPath = "$env:TEMPpayload.bin"
    if (Test-Path $downloadedPath) {
        Remove-Item $downloadedPath -Force
        Write-Host "[*] Removido carga útil maliciosa baixada."
    }
    # --------------------------------------------------------------