Son zamanlarda popüler yazım ve kodlama aracı EmEditor'ı indirdiyseniz, bilgisayarınızı tekrar kontrol etmenizde fayda var. 19 Aralık ile 22 Aralık 2025 tarihleri arasında, yazılımın resmi web sitesinde yaşanan bir güvenlik açığı, ana İndir Butonu'nun gerçek program yerine sahte, kötü amaçlı bir yükleyici sunmasına neden oldu.
Aracın geliştiricisi Emurasoft, Inc., bir üçüncü tarafın web sitesinin yönlendirme ayarlarıyla oynadığını keşfetti. Bu durum, kullanıcıların güvenli bir güncelleme aldıklarını düşünürken, aslında şirket tarafından oluşturulmamış bir dosyayı indirmek üzere farklı bir bölüme yönlendirildikleri anlamına geliyordu.
Sahte Dosyayı Nasıl Tespit Edersiniz
Emurasoft'un resmi bildirisine göre, sahte dosya oldukça ikna edici görünüyor. Aynı ismi (emed64_25.4.3.msi) taşıyor ve gerçek dosyayla neredeyse aynı boyutta. Ancak daha fazla inceleme, büyük bir ipucu ortaya çıkardı: Dijital İmza. Gerçek dosyalar Emurasoft, Inc. tarafından imzalanırken, şüpheli versiyon WALSHAM INVESTMENTS LIMITED adlı bir kuruluş tarafından imzalanmış durumda.
Çinli araştırma firması Qianxin'in RedDrip Ekibi bu bilgi hırsızlığı kötü amaçlı yazılımı araştırdı ve sisteminize girdiğinde, Slack, Discord ve Steam gibi uygulamalar için giriş bilgilerini aradığını, tarayıcı geçmişinizi, VPN ayarlarınızı ve kaydedilmiş şifrelerinizi hedef aldığını buldu. Tüm bunlar, yazılımın arka planda gerçek EmEditor'ı yüklemeye devam ederken gerçekleşiyor, bu da herhangi bir sorunun fark edilmesini zorlaştırıyor.
Analizleri, bu saldırının özellikle teknik personeli ve devlet dairelerini hedef aldığını ortaya koyuyor. Sadece dosyaları çalmakla kalmayıp, kötü amaçlı yazılım masaüstünüzün ekran görüntülerini alıyor ve Evernote, Notion, PuTTY ve WinSCP gibi özel araçları hedef alıyor. Ayrıca, bir ‘kendini yok etme’ özelliğine sahip: Eğer bilgisayarın eski Sovyet bölgesinde veya İran'da olduğunu tespit ederse, tespiti önlemek için çalışmayı durduruyor.
En endişe verici olanı, ‘Google Drive Caching’ adlı sahte bir tarayıcı uzantısını yüklemesi. Bu, hackerların tarayıcınızı uzaktan kontrol etmesine ve ödeme yaparken kripto para adreslerini değiştirmesine olanak tanıyor, böylece paranız doğrudan saldırganlara gidiyor.
Verilerinizi Koruma
Eğer yazılımın yerleşik otomatik güncelleme aracıyla güncelleme yaptıysanız, Taşınabilir sürümü kullandıysanız veya doğrudan download.emeditor.info adresinden indirdiyseniz muhtemelen güvendesiniz. Sorun, ana sayfadaki ana butonla sınırlıydı.
Ancak yanlış dosyayı indirdiğinizi düşünüyorsanız, yapmanız gereken en iyi şey yükleyiciye sağ tıklamak, Özellikler'e gitmek ve Dijital İmzalar sekmesini kontrol etmektir. Yanlış şirket adını görüyorsanız veya o sekme tamamen yoksa, dosyayı silin ve çalıştırmayın.
Kesin olarak emin olmak isteyenler için, gerçek dosyanın parmak izi (SHA-256) bu ile eşleşmelidir: e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e.
Zaten yüklemiş olanlar için, verilerinizin hackerlara gönderilmesini durdurmak için hemen internetten bağlantınızı kesmeniz önerilir. Ardından tam bir virüs taraması yapmalı ve o cihazda sakladığınız şifreleri değiştirmelisiniz, özellikle iki faktörlü kimlik doğrulama etkin değilse. Emurasoft, müşterilerine yaşanan rahatsızlık için özür diledi ve bu konuda güncellemeler yayınlayacaklarını belirtti.
Olayın tüm boyutunu belirlemek için araştırmalarımıza devam ediyoruz. Daha fazla bilgiye ulaştıkça bu sayfada ve/veya resmi kanallarımız aracılığıyla güncellemeler sağlayacağız. Bu olayı çok ciddiye alıyoruz ve nedenini belirlemek ve tekrarını önlemek için gerekli önlemleri alacağız. Bu durumun neden olduğu rahatsızlık ve endişe için tekrar içtenlikle özür dileriz ve EmEditor'a olan anlayışınız ve sürekli desteğiniz için teşekkür ederiz, Emurasoft'un bildirisi şöyle diyor.
