人気のテキスト/コード編集ソフトウェアEmEditorが最近サプライチェーン攻撃の標的となり、情報窃取型マルウェアが配布される事態となった。
レドモンドに拠点を置くEmurasoft, Inc.が開発するEmEditorは、コーディング、テキスト編集、大容量ファイルの処理向けに設計された高性能なWindowsツールである。
12月22日に公式サイトに掲載されたセキュリティインシデントの告知で、同ソフトの開発者は、12月19日(太平洋時間)18:39から12月22日(太平洋時間)12:50の間に「今すぐダウンロード」ボタンを使用してEmEditorをダウンロードした人は、悪意のあるインストーラーを受け取った可能性があると警告した。
告知には次のように記されている。「この期間にEmEditorホームページの[Download Now]ボタンからインストーラーをダウンロードした場合、当社のデジタル署名のない別のファイルがダウンロードされた可能性があります。これは保守的な見積もりであり、実際には影響を受けた期間はより短く、特定の時間帯に限定されていた可能性があります」。
Emurasoftの分析によれば、「今すぐダウンロード」ボタンの背後にあるURLが変更され、EmEditorサイト内の別の場所にホストされた悪意のある.msiファイルを指すようになっていたという。
偽のインストーラーは本物のインストーラーと同じ名前で、サイズも近かったが、別会社に属する証明書で署名されていた。
実行すると、悪意のあるインストーラーは、偽のEmEditorドメインからファイルをダウンロードして実行するためのPowerShellコマンドを実行した。
中国のサイバーセキュリティ企業Qianxinはこの攻撃を調査し、潜在的な脅威について企業および政府機関に警告した。同社は、当該エディターが中国で大きなユーザーベースを持つと指摘している。
Qianxinの分析では、悪意のある.msiファイルに、システム情報に加え、デスクトップ、ドキュメント、ダウンロード各フォルダー内のファイルを収集するためのスクリプトが含まれていた。VPN構成、ブラウザー情報、WindowsおよびZoho Mail、Discord、Slack、Teams、Zoom、WinSCP、PuTTY、Telegram、Steamなどのアプリケーションの認証情報といったデータも収集される。
同社は、マルウェアがシステム言語を確認し、旧ソ連諸国またはイランに設定されている場合は終了すると指摘した。
Qianxinの研究者はまた、情報収集後に、完全な機能を備えた情報窃取型マルウェアと説明されている「Google Drive Caching」という名称のブラウザー拡張機能が展開されることを突き止めた。
この悪意のある拡張機能は永続化のために使用され、攻撃者がシステム情報、閲覧履歴とブックマーク、Cookieを収集できるようにする。
さらに、この拡張機能にはクリップボード乗っ取り機能があり、暗号資産アドレスを攻撃者が所有するものに置き換えることができる。また、キーストロークの記録やFacebook広告アカウントの窃取も可能だという。
Qianxinは帰属(アトリビューション)に関する情報を共有していないが、その説明からは、このサプライチェーン攻撃が国家支援のAPTではなく、金銭目的のサイバー犯罪者によって実行されたことが示唆される。ただしサイバーセキュリティ業界では、両者の脅威アクター区分の境界はますます曖昧になっているとされる。
翻訳元: https://www.securityweek.com/infostealer-malware-delivered-in-emeditor-supply-chain-attack/
