2026-05-05 00:00
← VoltarUm ataque à cadeia de suprimentos recentemente identificado direcionado ao software DAEMON Tools comprometeu seus instaladores para servir uma carga maliciosa, de acordo com as descobertas da Kaspersky. “Esses instaladores são distribuídos a partir do site legítimo do DAEMON Tools e são assinados com certificados digitais pertencentes aos desenvolvedores do DAEMON Tools”, disseram os pesquisadores da Kaspersky Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko e Anton Kargin. Os instaladores foram trojanizados desde 8 de abril de 2026, com versões variando de 12.5.0.2421 a 12.5.0.2434 identificadas como comprometidas como parte do incidente. Embora o DAEMON Tools também esteja disponível para Mac, Kaspersky disse ao The Hacker News que apenas a versão do Windows foi comprometida. O ataque à cadeia de suprimentos está ativo no momento da escrita. AVB Disc Soft, desenvolvedora do software, foi notificada da violação. Especificamente, três componentes diferentes do DAEMON Tools foram adulterados: sempre que um destes binários é iniciado, o que normalmente acontece durante a inicialização do sistema, um implante é ativado no host comprometido. Ele foi projetado para enviar uma solicitação HTTP GET para um servidor externo (“env-check.daemontools[.]cc”) – um domínio registrado em 27 de março de 2026 – para receber um comando shell que é executado usando o processo “cmd.exe”.
O comando shell, por sua vez, é usado para baixar e executar uma série de cargas executáveis. Estes...
Um ataque à cadeia de suprimentos recentemente identificado direcionado ao software DAEMON Tools comprometeu seus instaladores para servir uma carga maliciosa, de acordo com as descobertas da Kaspersky. “Esses instaladores são distribuídos a partir do site legítimo do DAEMON Tools e são assinados com certificados digitais pertencentes aos desenvolvedores do DAEMON Tools”, disseram os pesquisadores da Kaspersky Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko e Anton Kargin. Os instaladores foram trojanizados desde 8 de abril de 2026, com versões variando de 12.5.0.2421 a 12.5.0.2434 identificadas como comprometidas como parte do incidente. Embora o DAEMON Tools também esteja disponível para Mac, Kaspersky disse ao The Hacker News que apenas a versão do Windows foi comprometida. O ataque à cadeia de suprimentos está ativo no momento da escrita. AVB Disc Soft, desenvolvedora do software, foi notificada da violação. Especificamente, três componentes diferentes do DAEMON Tools foram adulterados: sempre que um destes binários é iniciado, o que normalmente acontece durante a inicialização do sistema, um implante é ativado no host comprometido. Ele foi projetado para enviar uma solicitação HTTP GET para um servidor externo (“env-check.daemontools[.]cc”) – um domínio registrado em 27 de março de 2026 – para receber um comando shell que é executado usando o processo “cmd.exe”.
O comando shell, por sua vez, é usado para baixar e executar uma série de cargas executáveis. Estes incluem - A empresa russa de segurança cibernética disse ter observado vários milhares de tentativas de infecção envolvendo DAEMON Tools na sua telemetria, impactando indivíduos e organizações em mais de 100 países, como Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China. No entanto, o backdoor do próximo estágio foi entregue apenas a uma dúzia de hosts, indicando uma abordagem direcionada. Os sistemas que receberam o malware subsequente foram sinalizados como pertencentes a organizações de varejo, científicas, governamentais e de manufatura na Rússia, Bielo-Rússia e Tailândia. Além do mais, uma das cargas entregues através do backdoor é um trojan de acesso remoto denominado QUIC RAT. O uso do implante C++ foi registrado contra uma única vítima: uma instituição educacional localizada na Rússia. “Essa maneira de implantar o backdoor em um pequeno subconjunto de máquinas infectadas indica claramente que o invasor tinha intenções de conduzir a infecção de maneira direcionada”, disse Kaspersky. "No entanto, a sua intenção - seja ciberespionagem ou 'caça grossa' - atualmente não é clara." O malware suporta uma variedade de protocolos de comando e controle (C2), incluindo HTTP, UDP, TCP, WSS, QUIC, DNS e HTTP/3, e vem equipado com recursos para injetar cargas úteis em processos legítimos "notepad.exe" e "conhost.exe".
A atividade não foi atribuída a nenhum ator ou grupo de ameaça conhecido. Mas as evidências apontam que se trata de obra de um adversário de língua chinesa, com base na análise dos artefatos observados. O compromisso da DAEMON Tools é o mais recente em uma lista crescente de incidentes na cadeia de suprimentos de software no primeiro semestre de 2026 e segue violações semelhantes de alto perfil envolvendo eScan em janeiro, Notepad++ em fevereiro e CPUID em abril. “Um compromisso desta natureza ignora as defesas de perímetro tradicionais porque os usuários confiam implicitamente no software assinado digitalmente baixado diretamente de um fornecedor oficial”, disse Kucherin, pesquisador sênior de segurança da Kaspersky GReAT, em comunicado compartilhado com o The Hacker News. "Por causa disso, o ataque DAEMON Tools passou despercebido durante cerca de um mês. Este período de tempo, por sua vez, indica que o agente da ameaça por trás deste ataque é sofisticado e possui capacidades ofensivas avançadas. Dada a alta complexidade do comprometimento, é, portanto, de suma importância que as organizações isolem as máquinas que tenham o software DAEMON Tools instalado, bem como conduzam varreduras de segurança para evitar a propagação de atividades maliciosas dentro das redes corporativas." Quando contatado para comentar, um representante do desenvolvedor letão disse que está "ciente do relatório e estão atualmente investigando a situação." "Nossa equipe está tratando este assunto com a mais alta prioridade e está trabalhando ativamente para avaliar e resolver o problema", acrescentou o porta-voz. "Nesta fase, não estamos em posição de confirmar detalhes específicos mencionados no relatório.
No entanto, estamos tomando todas as medidas necessárias para remediar quaisquer riscos potenciais e garantir a segurança dos nossos usuários. Forneceremos uma atualização assim que tivermos mais informações verificadas para compartilhar." (A história foi atualizada após a publicação para incluir uma resposta da Kaspersky e AVB Disc Soft.) Aprenda como impedir ataques do paciente zero antes que eles contornem a detecção e comprometam seus sistemas em pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.