Разработчики популярного текстового редактора EmEditor раскрыли подробности инцидента безопасности, связанного с подменой установочного файла на официальном сайте. По данным компании Emurasoft, в период с 19 по 22 декабря 2025 года кнопка Download Now могла вести на изменённый MSI-установщик, подписанный сторонней организацией WALSHAM INVESTMENTS LIMITED, а не законным издателем.
Официальное уведомление было опубликовано 23 декабря. В нём указано, что перенаправление на загрузку, предположительно, было изменено третьей стороной. Пользователям, скачивавшим файл emed64_25.4.3.msi в указанный период, рекомендовано проверить цифровую подпись и контрольную сумму. При этом Emurasoft подчёркивает, что инцидент не затронул:
Параллельно китайская аналитическая компания QiAnXin (奇安信) сообщила, что зафиксировала данный инцидент в своих потоках угроз и проанализировала предполагаемую вредоносную цепочку. По их данным, подменённый MSI содержал скрипт, запускающий PowerShell-команды, с попыткой ослабить системное логирование и затруднить расследование. Далее вредонос собирал базовую информацию о системе, генерировал RSA-ключ и отправлял первые данные на управляющий сервер, замаскированный под домен EmEditor — emeditorgb.com.
Аналитики утверждают, что последующие этапы напоминали классический инфостилер: перебор файлов на рабочем столе и в пользовательских каталогах, сбор конфигураций VPN, попытки извлечения учётных данных Windows, cookies и сохранённых логинов браузеров. В отчёте упоминается сбор доступов и данных из популярных сервисов и приложений, включая корпоративные мессенджеры и инструменты удалённого доступа. Дополнительно создавался скриншот экрана, а собранная информация, по версии исследователей, упаковывалась в архив array.bin.
Отдельно отмечается проверка языка системы: при обнаружении ряда регионов, включая страны бывшего СССР и Иран, вредоносная активность прекращалась. Такой механизм часто используется для снижения риска привлечения внимания локальных регуляторов и правоохранительных органов.
Для закрепления в системе, как утверждает QiAnXin, цепочка устанавливала браузерное расширение под названием Google Drive Caching. Ему приписываются функции длительного слежения и кражи данных: сбор «отпечатков» устройства, cookies, истории браузера, перехват ввода с клавиатуры, а также дополнительные возможности, включая подмену криптовалютных адресов и удалённое управление через управляющую инфраструктуру. В качестве одного из доменов управления называется cachingdrive.com, при этом использовался и резервный механизм генерации доменов (DGA).
Разработчики EmEditor подчёркивают, что расследование продолжается, и призывают пользователей, устанавливавших программу через кнопку Download Now в период 19–22 декабря, отнестись к ситуации серьёзно: перепроверить установщик, провести полную проверку системы и уделить особое внимание браузерным данным и корпоративным приложениям, которые чаще всего становятся целью подобных атак.
Официальное уведомление было опубликовано 23 декабря. В нём указано, что перенаправление на загрузку, предположительно, было изменено третьей стороной. Пользователям, скачивавшим файл emed64_25.4.3.msi в указанный период, рекомендовано проверить цифровую подпись и контрольную сумму. При этом Emurasoft подчёркивает, что инцидент не затронул:
- встроенный механизм обновления EmEditor;
- прямые загрузки с домена download.emeditor.info;
- portable-версию;
- версии из Microsoft Store;
- установку через winget.
Параллельно китайская аналитическая компания QiAnXin (奇安信) сообщила, что зафиксировала данный инцидент в своих потоках угроз и проанализировала предполагаемую вредоносную цепочку. По их данным, подменённый MSI содержал скрипт, запускающий PowerShell-команды, с попыткой ослабить системное логирование и затруднить расследование. Далее вредонос собирал базовую информацию о системе, генерировал RSA-ключ и отправлял первые данные на управляющий сервер, замаскированный под домен EmEditor — emeditorgb.com.
Аналитики утверждают, что последующие этапы напоминали классический инфостилер: перебор файлов на рабочем столе и в пользовательских каталогах, сбор конфигураций VPN, попытки извлечения учётных данных Windows, cookies и сохранённых логинов браузеров. В отчёте упоминается сбор доступов и данных из популярных сервисов и приложений, включая корпоративные мессенджеры и инструменты удалённого доступа. Дополнительно создавался скриншот экрана, а собранная информация, по версии исследователей, упаковывалась в архив array.bin.
Отдельно отмечается проверка языка системы: при обнаружении ряда регионов, включая страны бывшего СССР и Иран, вредоносная активность прекращалась. Такой механизм часто используется для снижения риска привлечения внимания локальных регуляторов и правоохранительных органов.
Для закрепления в системе, как утверждает QiAnXin, цепочка устанавливала браузерное расширение под названием Google Drive Caching. Ему приписываются функции длительного слежения и кражи данных: сбор «отпечатков» устройства, cookies, истории браузера, перехват ввода с клавиатуры, а также дополнительные возможности, включая подмену криптовалютных адресов и удалённое управление через управляющую инфраструктуру. В качестве одного из доменов управления называется cachingdrive.com, при этом использовался и резервный механизм генерации доменов (DGA).
Разработчики EmEditor подчёркивают, что расследование продолжается, и призывают пользователей, устанавливавших программу через кнопку Download Now в период 19–22 декабря, отнестись к ситуации серьёзно: перепроверить установщик, провести полную проверку системы и уделить особое внимание браузерным данным и корпоративным приложениям, которые чаще всего становятся целью подобных атак.
