2026-05-05 00:00
← VoltarHackers trojanizaram instaladores do software DAEMON Tools e, desde 8 de abril, entregaram um backdoor para milhares de sistemas que baixaram o produto do site oficial. O ataque à cadeia de abastecimento levou a milhares de infecções em mais de 100 países. No entanto, as cargas úteis do segundo estágio foram implantadas apenas em uma dúzia de máquinas, indicando um ataque direcionado direcionado a alvos de alto valor. Entre as vítimas que recebem cargas úteis da próxima fase estão organizações retalhistas, científicas, governamentais e industriais na Rússia, Bielorrússia e Tailândia. Um relatório hoje da empresa de segurança cibernética Kaspersky observa que o ataque está em andamento e que o software trojanizado inclui versões do DAEMON Tools de 12.5.0.2421 a 12.5.0.2434, especificamente os binários DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. DAEMON Tools é um utilitário do Windows que permite montar arquivos de imagem de disco como unidades virtuais. O software era extremamente popular na década de 2000, especialmente entre jogadores e usuários avançados, mas hoje sua implantação está limitada a ambientes onde o gerenciamento de unidades virtuais é necessário. A partir de hoje, a Kaspersky afirma que o ataque está em andamento.
Depois que usuários desavisados baixam e executam os instaladores trojanizados assinados digitalmente, eles acionam o código malicioso incorporado nos binários comprometidos. A carga estabelece persistência e ativa um backdoor na...
Hackers trojanizaram instaladores do software DAEMON Tools e, desde 8 de abril, entregaram um backdoor para milhares de sistemas que baixaram o produto do site oficial. O ataque à cadeia de abastecimento levou a milhares de infecções em mais de 100 países. No entanto, as cargas úteis do segundo estágio foram implantadas apenas em uma dúzia de máquinas, indicando um ataque direcionado direcionado a alvos de alto valor. Entre as vítimas que recebem cargas úteis da próxima fase estão organizações retalhistas, científicas, governamentais e industriais na Rússia, Bielorrússia e Tailândia. Um relatório hoje da empresa de segurança cibernética Kaspersky observa que o ataque está em andamento e que o software trojanizado inclui versões do DAEMON Tools de 12.5.0.2421 a 12.5.0.2434, especificamente os binários DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. DAEMON Tools é um utilitário do Windows que permite montar arquivos de imagem de disco como unidades virtuais. O software era extremamente popular na década de 2000, especialmente entre jogadores e usuários avançados, mas hoje sua implantação está limitada a ambientes onde o gerenciamento de unidades virtuais é necessário. A partir de hoje, a Kaspersky afirma que o ataque está em andamento.
Depois que usuários desavisados baixam e executam os instaladores trojanizados assinados digitalmente, eles acionam o código malicioso incorporado nos binários comprometidos. A carga estabelece persistência e ativa um backdoor na inicialização do sistema. O servidor pode responder com comandos que instruem o sistema a baixar e executar cargas adicionais. O malware de primeiro estágio é um ladrão de informações básicas que coleta dados do sistema, como nome do host, endereço MAC, processos em execução, software instalado e localidade do sistema, e os envia aos invasores para criação de perfil da vítima. Carga útil básica do ladrão de informações Fonte: Kaspersky Com base nos resultados, alguns sistemas recebem um segundo estágio, que é um backdoor leve que pode executar comandos, baixar arquivos e executar código diretamente na memória. Trecho de código do backdoor Fonte: Kaspersky Em pelo menos um caso direcionado a uma instituição educacional russa, a Kaspersky observou a implantação de uma variedade de malware mais avançada chamada QUIC RAT, que suporta vários protocolos de comunicação e pode injetar código malicioso em processos legítimos. BleepingComputer contatou a DAEMON Tools com um pedido de comentário sobre o ataque à cadeia de suprimentos, mas não recebemos resposta até a publicação. A Kaspersky descreve o ataque à cadeia de fornecimento do DAEMON Tools como um compromisso suficientemente sofisticado que escapou à detecção durante quase um mês.
“Dada a alta complexidade do ataque, é fundamental que as organizações examinem cuidadosamente as máquinas que tinham o DAEMON Tools instalado, em busca de atividades anormais relacionadas à segurança cibernética que ocorreram em ou após 8 de abril”, afirmam os pesquisadores. Embora a Kaspersky não atribua o ataque a um ator de ameaça específico, com base nas strings encontradas na carga útil do primeiro estágio, os pesquisadores acreditam que o invasor fala chinês. Desde o início do ano, ataques à cadeia de fornecimento de software foram detectados quase todos os meses: eScan em janeiro, Notepad++ em fevereiro, CPU-Z em abril e DAEMON Tools este mês. Ataques semelhantes direcionados a repositórios de código, pacotes e extensões têm sido ainda mais prevalentes este ano, com as campanhas Trivy, Checkmarx e Glassworm entre as mais proeminentes.