Даже официальный сайт — больше не гарантия. Хакеры превратили популярный текстовый редактор в инструмент шпионажа
NewsMakerКажется, эпоха слепого доверия к проверенным источникам окончательно ушла в прошлое.
В конце декабря 2025 года разработчики популярного текстового редактора EmEditor предупредили пользователей о компрометации официальной страницы загрузки программы. Преступники незаметно подменили официальный установщик на вредоносную версию, которая используется для распространения многоступенчатого вредоносного ПО , способного красть данные, скрываться от защитных механизмов и проникать в корпоративные сети.
Редактор EmEditor, разработанный американской компанией Emurasoft, особенно популярен среди разработчиков в Японии. Этот факт, по мнению специалистов, может указывать на выбор жертвы — либо нацеливание на конкретную страну, либо на отдельную категорию пользователей. Сложность обнаружения вредоносной активности объясняется тем, что она начинается только после завершения установки, что повышает вероятность длительного присутствия в системе без выявления.
Согласно анализу Trend Micro, специалисты которой решили подробно разобрать эту вредоносную кампанию, скомпрометированный установочный файл запускал PowerShell -команду, которая загружала первый этап вредоносного кода с сайта, маскирующегося под легитимный. Далее загружались два дополнительных скрипта, содержащих основную нагрузку. Их содержимое было скрыто с помощью различных техник обработки строк, таких как замена, удаление и обрезка, что затрудняет анализ.
Один из этих скриптов отключал отслеживание событий PowerShell, похищал учётные данные и проверял наличие защитных решений в системе. Он также способен делать снимки экрана и обнаруживать, используется ли виртуальная среда. Второй скрипт собирал техническую информацию об устройстве, проверял географическое положение и осуществлял отправку данных на командный сервер.
В конце декабря 2025 года разработчики популярного текстового редактора EmEditor предупредили пользователей о компрометации официальной страницы загрузки программы. Преступники незаметно подменили официальный установщик на вредоносную версию, которая используется для распространения многоступенчатого вредоносного ПО , способного красть данные, скрываться от защитных механизмов и проникать в корпоративные сети.
Редактор EmEditor, разработанный американской компанией Emurasoft, особенно популярен среди разработчиков в Японии. Этот факт, по мнению специалистов, может указывать на выбор жертвы — либо нацеливание на конкретную страну, либо на отдельную категорию пользователей. Сложность обнаружения вредоносной активности объясняется тем, что она начинается только после завершения установки, что повышает вероятность длительного присутствия в системе без выявления.
Согласно анализу Trend Micro, специалисты которой решили подробно разобрать эту вредоносную кампанию, скомпрометированный установочный файл запускал PowerShell -команду, которая загружала первый этап вредоносного кода с сайта, маскирующегося под легитимный. Далее загружались два дополнительных скрипта, содержащих основную нагрузку. Их содержимое было скрыто с помощью различных техник обработки строк, таких как замена, удаление и обрезка, что затрудняет анализ.
Один из этих скриптов отключал отслеживание событий PowerShell, похищал учётные данные и проверял наличие защитных решений в системе. Он также способен делать снимки экрана и обнаруживать, используется ли виртуальная среда. Второй скрипт собирал техническую информацию об устройстве, проверял географическое положение и осуществлял отправку данных на командный сервер.