此次事件中最明显的危险信号在于数字签名:正版 EmEditor 软件的签名主体为 “Emurasoft 公司”,而这批恶意文件的签名却显示为 “沃尔沙姆投资有限公司(WALSHAM INVESTMENTS LIMITED)”。
报告明确指出:“官方 MSI 安装包已被替换为恶意版本,所用签名为非官方的沃尔沙姆投资有限公司。”
其窃取范围极为广泛,重点目标包括:
・VPN 配置信息:盗取访问凭证
・浏览器数据:提取谷歌浏览器、Edge、勇敢浏览器、欧朋浏览器的 Cookie、浏览记录及登录信息
・应用账号凭证:窃取 Zoho 邮箱、印象笔记、Discord、Slack、Zoom、WinSCP 及 PuTTY 中的核心数据
・本地文件:泄露桌面、文档及下载文件夹中的各类文档
此次攻击最具技术含量的部分,是其搭载的持久化驻留机制。为实现长期控制目标设备,恶意软件会安装一款名为 “谷歌云端硬盘缓存(Google Drive Caching)” 的恶意浏览器扩展程序(ID:ngahobakhbdpmokneiohlfofdmgpakd)。
红滴团队指出:“该恶意软件最终会安装一款浏览器扩展以实现持久化驻留,这款名为谷歌云端硬盘缓存的扩展,本质是一款功能完备的信息窃取恶意软件。”
恶意软件中还暗藏一个关键线索,可侧面推测威胁攻击者的来源或攻击规则 —— 其内置了严格的 **“禁止感染” 名单 **。脚本会检测受害者的系统语言,一旦识别出目标设备归属前苏联加盟国或伊朗相关地区,便会自行终止运行。
报告解读:“若检测到设备归属以下国家(涵盖前苏联地区及伊朗),恶意程序将终止执行”,并列出对应地区代码,包括俄罗斯(RU)、乌克兰(UA)、哈萨克斯坦(KZ)及伊朗(IR)。
鉴于 EmEditor 在中外开发者与运维人员群体中广泛使用,红滴团队判定,此次事件对政企及政府机构构成高危安全风险。
报告强调:“结合后续加载的恶意载荷为信息窃取类恶意软件,综合评估可知,该事件对相关政府机关及企业机构存在大规模潜在威胁。”
发表评论
您还未登录,请先登录。
登录