Popüler metin editörü EmEditor, 19-22 Aralık 2025 tarihleri arasında, saldırganların kötü amaçlı yazılım içeren kurulum paketlerini dağıtmak için resmi web sitesini tehlikeye attığı karmaşık bir tedarik zinciri saldırısının kurbanı oldu.
Yazılımın geliştiricisi Emurasoft, Inc., 23 Aralık’ta, kötü niyetli MSI yükleyicilerinin, meşru yayıncı kimlik bilgileri yerine “WALSHAM INVESTMENTS LIMITED”a ait sahte dijital imzalar taşıyan, tahrif edilmiş indirme bağlantıları aracılığıyla kullanıcılara sunulduğunu doğruladı.
Qianxin Tehdit İstihbarat Merkezi’nin RedDrip Ekibi, olayı istihbarat izleme sistemleri aracılığıyla tespit ederek kötü amaçlı yük zincirinin tamamını yakaladı.
EmEditor’un hassas verilerle ilgilenen Çinli geliştiriciler, operasyon personeli ve teknik profesyoneller arasındaki önemli kullanıcı tabanı göz önüne alındığında, güvenlik araştırmacıları saldırının bölgedeki hükümet ve kurumsal kurumlar için önemli riskler oluşturduğunu değerlendiriyor.
Gelişmiş Çok Aşamalı Saldırı Zinciri
Güvenliği ihlal edilen MSI yükleyicisi (emed64_25.4.3.msi), sistem günlüğünü kapatan ve veri sızıntısı için C# sınıflarını dağıtan PowerShell komutlarını yürütmek üzere tasarlanmış yerleşik kötü amaçlı komut dosyaları içeriyordu.
Kötü amaçlı yazılım, işletim sistemi sürümü ve kullanıcı adları da dahil olmak üzere sistem bilgilerini sistematik olarak topladı ve çalınan verileri meditorgb.com adresindeki komuta ve kontrol sunucusuna aktarmadan önce RSA şifrelemesiyle şifreledi.
Bilgi hırsızı, Masaüstü, Belgeler ve İndirilenler dahil çok sayıda yüksek değerli dizini hedef alarak dosya listelerini topladı ve bunları “sandbox.txt” ve “system.txt” adlı şifreli arşivlerde paketledi.
Kötü amaçlı yazılım, popüler uygulamalardan VPN yapılandırmalarını, Windows oturum açma kimlik bilgilerini ve çerezleri, kaydedilmiş şifreleri ve kullanıcı tercihlerini içeren tarayıcı verilerini çıkararak gelişmiş kimlik bilgisi hırsızlığı yetenekleri sergiledi.
Hedeflenen yazılımlar arasında Zoho Mail, Evernote, Notion, Discord, Slack, Mattermost, Microsoft Teams ve Zoom gibi kurumsal işbirliği platformlarının yanı sıra WinSCP ve PuTTY gibi güvenli dosya aktarım araçları da vardı.
Kötü amaçlı yazılım ayrıca ekran görüntülerini yakaladı ve çalınan tüm verileri sızmak için “array.bin” adlı bir dosyaya sıkıştırdı. Kötü amaçlı yazılımın, eski Sovyet ülkeleri veya İran ile ilişkili sistem dillerini tespit etmesi durumunda yürütmeyi sonlandıran coğrafi kısıtlamalar içermesi dikkat çekicidir.
Saldırının en endişe verici bileşeni, “Google Drive Önbelleğe Alma” kılığına giren kalıcı bir tarayıcı uzantısının yüklenmesini içeriyordu.
Bu tam özellikli bilgi hırsızı, cachingdrive.com ile iletişim kurdu ve birincil altyapının kaldırma çabalarıyla karşı karşıya kalsa bile operasyonları sürdürmek için Etki Alanı Oluşturma Algoritması (DGA) mantığını birleştirdi. DGA, yıl ve hafta sayısı hesaplamalarıyla birleştirilmiş çekirdek değerleri kullanarak haftalık yedek etki alanları oluşturur.
Uzantı, CPU, GPU, bellek özellikleri, ekran çözünürlüğü ve saat dilimi verileri dahil olmak üzere kapsamlı sistem meta verilerini topladı.
30’dan fazla kripto para birimi cüzdan adresi formatını destekleyen pano ele geçirme işlevini uygularken tam tarayıcı geçmişini, çerezleri, yüklü uzantıları ve yer işaretlerini yakaladı.
Ek özellikler arasında, belirli web sayfalarına göre kategorize edilen keylogging, Facebook reklam hesabı hırsızlığı ve operatörlerin ekran görüntülerini yürütmesine, yerel dosyaları okumasına, proxy bağlantıları kurmasına ve rastgele JavaScript kodu çalıştırmasına olanak tanıyan uzaktan kontrol işlevleri yer alıyordu.
Tespit ve Azaltma
Qianxin’in Tianqing “Liuhe” motoru, kötü niyetli MSI yükleyicilerini algılar ve engeller. Şirket, kamu ve kurumsal müşterilerinin tehdide karşı korunmak için bu güvenlik motorunu kullanmalarını öneriyor.
Emurasoft, EmEditor’un yerleşik Güncelleme Denetleyicisi aracılığıyla güncelleme yapan, doğrudan download.meditor.info adresinden indiren veya taşınabilir/mağaza sürümlerini kullanan kullanıcıların etkilenmediğini doğruladı.
Yasal yükleyici, Emurasoft, Inc.’in SHA-256 karma e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e ile dijital imzasını taşırken, kötü amaçlı sürüm WALSHAM INVESTMENTS tarafından imzalanmış 80.380.416 baytlık bir dosya boyutunu görüntüler. SINIRLI.
Kuruluşlar, potansiyel olarak etkilenen sistemleri derhal izole etmeli, kapsamlı kötü amaçlı yazılım taramaları yapmalı ve açığa çıkan kimlik bilgileri için çok faktörlü kimlik doğrulamayı etkinleştirerek parola sıfırlamaları uygulamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.