Japon programlama topluluklarının tercih ettiği popüler bir metin editörü olan EmEditor’u kullanan geliştiricileri hedef alan büyük bir güvenlik tehdidi ortaya çıktı.
Aralık 2025’in sonlarında, yazılımın resmi indirme sayfası, saldırganların yükleyicinin kötü amaçlı sürümlerini şüphelenmeyen kullanıcılara dağıtmasına olanak tanıyan bir güvenlik açığının kurbanı oldu.
Saldırı, güvenilir yazılım platformlarının karmaşık kötü amaçlı yazılımlar için nasıl tehlikeli dağıtım mekanizmaları haline gelebileceğini gösteriyor.
Bu araca güvenen dünya çapındaki geliştiriciler ve kuruluşlar, güvenlik açığının keşfedilip kamuya açıklanması öncesindeki pencerede acil riskle karşı karşıya kaldı.
Saldırganlar, değiştirilmiş yükleyicilerini, kimlik bilgileri hırsızlığı, veri toplama ve ağlar içinde yanal hareket için tasarlanmış çok aşamalı bir kötü amaçlı yazılım yükünü sağlayacak şekilde stratejik olarak konumlandırdı.
Kullanıcılar meşru EmEditor yazılımı gibi görünen bir yazılımı indirdiklerinde, bilmeden hassas bilgileri çalabilen ve izinsiz girişlere olanak tanıyan truva atı haline getirilmiş bir sürüm yüklediler.
.webp)
Saldırının zamanlamasının, güvenlik ekiplerinin genellikle azaltılmış personel sayısıyla çalıştığı yıl sonu tatillerine denk gelmesi, tehdit aktörlerinin ilk kritik enfeksiyon aşamasında tespit edilmeme şanslarını en üst düzeye çıkarmak için bu pencereyi bilinçli olarak seçtiklerini gösteriyor.
Trend Micro analistleri, bu tedarik zinciri saldırısını, devam eden tehdit istihbaratı çalışmalarının bir parçası olarak tanımladı ve kötü amaçlı yazılımın yapısına ve yeteneklerine ilişkin ayrıntılı teknik analiz sağladı.
.webp)
Araştırma ekibi, ele geçirilen yükleyicinin yürütme sonrasında bir PowerShell komutunu tetiklediğini ve aldatıcı bir şekilde adlandırılmış bir alandan ilk aşama yükünü aldığını keşfetti.
Kötü amaçlı yazılım daha sonra kalıcılığı sağlayan ve sistem bilgilerini toplamaya başlayan iki ek veri indiriyor ve tüm bunları yaparken erken tespit sistemlerini önlemek için karmaşık gizleme teknikleri kullanıyor.
EmEditor Kullanıcılarına Stealer Kötü Amaçlı Yazılımla Saldıran Yeni Sulama Deliği
Güvenliği ihlal edilmiş .MSI yükleyici dosyası, bariz güvenlik uyarılarını tetiklemeden çalıştırılan değiştirilmiş komut dosyaları içerir.
.webp)
Başlatıldığında, yasal EmEditor altyapısını taklit eden etki alanlarında barındırılan uzak sunuculardan gizlenmiş kodları alan bir PowerShell komutu oluşturur.
Saldırganlar, komut dosyaları boyunca dize manipülasyon teknikleri kullandı ve bu da kodun otomatik güvenlik araçlarıyla analiz edilmesini zorlaştırdı.
İlk veri, her biri kimlik bilgisi toplama, güvenlik yazılımı tespiti ve sistem parmak izi alma gibi farklı kötü amaçlı işlevler gerçekleştiren ana kötü amaçlı yazılım bileşenlerini almak için iki ek URL’ye bağlanır.
İkinci veri, birincil güvenlik önleme mekanizması olarak çalışır ve güvenlik günlüğünü önlemek amacıyla Windows için PowerShell Olay İzlemeyi devre dışı bırakır.
Ayrıca, depolanan parolaları ayıklamak ve virüslü sistemlerin ekran görüntülerini yakalamak için Windows Kimlik Bilgisi Yöneticisi’ne de erişir.
Üçüncü yük, saldırganın altyapısıyla komuta ve kontrol iletişimini yönetirken, Rusya veya Bağımsız Devletler Topluluğu’nun müdahalesini düşündüren belirli ülkeleri hariç tutan coğrafi sınırlama kontrolleri gerçekleştirir.
Teknik analiz, kötü amaçlı yazılımın tüm iletişimlerde tutarlı bir kampanya tanımlayıcısı içerdiğini ve araştırmacıların etkilenen sistemleri izlemesine ve sektör genelinde müdahale çabalarını koordine etmesine yardımcı olduğunu gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
