Ataque à supply chain do EmEditor distribuiu infostealer a partir do site oficial

O software de edição de texto e código EmEditor foi alvo de um ataque à supply chain que resultou na distribuição de um infostealer a partir do seu site oficial. A informação foi confirmada pela Emurasoft, empresa responsável pelo desenvolvimento da ferramenta.

Num aviso de segurança publicado a 22 de dezembro, a Emurasoft alertou que utilizadores que descarregaram o EmEditor através do botão “Download Now” entre 19 de dezembro, às 18h39 em Portugal, e 22 de dezembro, às 12h50, poderão ter recebido um instalador malicioso. Segundo a empresa, o ficheiro descarregado não continha a assinatura digital legítima do fabricante.

A análise interna revelou que o URL associado ao botão de download foi alterado para apontar para um ficheiro [.]msi malicioso, alojado noutra localização dentro do próprio site do EmEditor. O instalador falso tinha o mesmo nome e um tamanho semelhante ao legítimo, mas estava assinado com um certificado pertencente a outra entidade.

Quando executado, o instalador lançava um comando PowerShell destinado a descarregar e executar um payload adicional a partir de um domínio falso associado ao EmEditor. O incidente foi também analisado pela empresa chinesa de cibersegurança Qianxin, que emitiu alertas dirigidos a empresas e organismos governamentais, sublinhando a forte base de utilizadores do editor na China.

De acordo com a Qianxin, o malware recolhia informação do sistema e ficheiros das pastas Desktop, Documents e Downloads. Entre os dados exfiltrados incluem-se configurações de VPN, informação de browsers e credenciais do Windows, bem como de aplicações como Zoho Mail, Discord, Slack, Teams, Zoom, WinSCP, PuTTY, Telegram e Steam.

A análise indica ainda que o código malicioso verifica o idioma do sistema e termina a execução caso esteja configurado para países da antiga União Soviética ou para o Irão. Após a recolha inicial de dados, o script instala uma extensão de browser denominada “Google Drive Caching”, descrita como um malware de roubo de informação com múltiplas funcionalidades.

Esta extensão garante persistência e permite o acesso a histórico e favoritos do browser, cookies, conteúdos da área de transferência e registo de teclas. Inclui ainda funcionalidades de clipboard hijacking, substituindo endereços de criptomoedas por endereços controlados pelos atacantes, e capacidade de comprometer contas de publicidade no Facebook.

A Qianxin não avançou com atribuição do ataque, mas a descrição sugere uma operação orientada para lucro, em vez de uma campanha de ciberespionagem estatal. Ainda assim, os investigadores sublinham que a distinção entre cibercrime e atores patrocinados por Estados está cada vez menos clara.

A Emurasoft e a Qianxin disponibilizaram indicadores de compromisso (IoC) associados ao ataque, recomendando que as organizações verifiquem sistemas potencialmente afetados e procedam a análises de segurança adicionais.