Aanvallers zijn erin geslaagd om de officiële website van teksteditor EmEditor te compromitteren en vervolgens een besmette versie te verspreiden. Deze versie bevatte infostealer-malware, die allerlei wachtwoorden en andere inloggegevens van systemen steelt, alsmede een malafide browser-extensie installeert. Volgens softwarebedrijf Emurasoft, ontwikkelaar van EmEditor, werd de besmette versie van 19 tot en met 22 december via de officiële website aangeboden.

Gebruikers die in deze periode de software hebben gedownload wordt aangeraden om te controleren of ze inderdaad de besmette versie hebben gedownload. Wanneer dit het geval is moet het systeem direct van het netwerk worden losgekoppeld. Vervolgens moet er een virusscan worden uitgevoerd. Afhankelijk van de situatie adviseert Emurasoft om het systeem opnieuw te installeren.

Vanwege de kans op gestolen wachtwoorden wordt aangeraden om alle op het systeem opgeslagen inloggegevens te wijzigen. Zakelijke gebruikers krijgen het advies om contact met hun interne securityteam op te nemen en waar mogelijk relevante logbestanden te bewaren. Hoe de aanvallers de website van het softwarebedrijf konden compromitteren is niet bekendgemaakt.

Securitybedrijf Qianxin meldt dat zowel organisaties als overheden door de malware zijn getroffen. Veel van de slachtoffers zouden zich in China bevinden. De malware steelt informatie over het systeem en inloggegevens van onder andere Zoho Mail, Evernote, Notion, Discord, Slack, Mattermost, Skype, LiveChat, MSTeams, Zoom, WinSCP, PuTTY, Steam en Telegram. De malware kan ook screenshots van het scherm maken en toetsaanslagen opslaan.

Daarnaast installeert de malware een malafide browser-extensie genaamd "Google Drive Caching". Deze extensie kan bookmarks, cookies, wachtwoorden en informatie over bezochte websites stelen. Tevens fungeert de extensie ook als clipper-malware. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina.

Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. Clipper-malware op het systeem kan het gekopieerde adres aanpassen naar een adres van de aanvaller. Zodra het slachtoffer het adres op de transactiepagina plakt, en niet goed oplet, maakt hij zo geld over naar de wallet van de aanvaller in plaats van de oorspronkelijk bedoelde begunstigde. Hoe vaak de besmette versie gedownload is, is niet bekendgemaakt.