Даже официальный сайт — больше не гарантия. Хакеры превратили популярный текстовый редактор в инструмент шпионажа

В конце декабря 2025 года разработчики популярного текстового редактора EmEditor предупредили пользователей о компрометации официальной страницы загрузки программы. Преступники незаметно подменили официальный установщик на вредоносную версию, которая используется для распространения многоступенчатого вредоносного ПО, способного красть данные, скрываться от защитных механизмов и проникать в корпоративные сети.

Редактор EmEditor, разработанный американской компанией Emurasoft, особенно популярен среди разработчиков в Японии. Этот факт, по мнению специалистов, может указывать на выбор жертвы — либо нацеливание на конкретную страну, либо на отдельную категорию пользователей. Сложность обнаружения вредоносной активности объясняется тем, что она начинается только после завершения установки, что повышает вероятность длительного присутствия в системе без выявления.

Согласно анализу Trend Micro, специалисты которой решили подробно разобрать эту вредоносную кампанию, скомпрометированный установочный файл запускал PowerShell-команду, которая загружала первый этап вредоносного кода с сайта, маскирующегося под легитимный. Далее загружались два дополнительных скрипта, содержащих основную нагрузку. Их содержимое было скрыто с помощью различных техник обработки строк, таких как замена, удаление и обрезка, что затрудняет анализ.

Один из этих скриптов отключал отслеживание событий PowerShell, похищал учётные данные и проверял наличие защитных решений в системе. Он также способен делать снимки экрана и обнаруживать, используется ли виртуальная среда. Второй скрипт собирал техническую информацию об устройстве, проверял географическое положение и осуществлял отправку данных на командный сервер.

Вся собранная информация пересылалась на управляющий сервер по адресу «cachingdrive[.]com», а в структуре трафика повторялся уникальный идентификатор, что указывает на использование кампании с определённой меткой. Известны случаи, когда пользователи уже скачали заражённый файл до официального предупреждения компании.

По мнению специалистов, инцидент стал очередным напоминанием о том, что даже загрузка программ с официальных источников не гарантирует безопасности. Для защиты от подобных атак рекомендуется проверять цифровую подпись и целостность установочных файлов, ограничивать запуск PowerShell и активно отслеживать попытки вмешательства в механизмы логирования. Кроме того, важно ограничивать права доступа и минимизировать число учётных записей с расширенными полномочиями, а также регулярно контролировать их активность.

Для разработчиков и поставщиков программных решений приоритетом должно стать не только обеспечение безопасности приложений, но и защита инфраструктуры распространения. Серверы загрузки требуют строгого контроля и постоянного мониторинга, а пользователям необходимо предоставлять средства проверки подлинности установщиков.