Ataque à cadeia de suprimentos da DAEMON Tools
Pesquisadores de cibersegurança descobriram um ataque sofisticado à cadeia de suprimentos envolvendo instaladores do DAEMON Tools. Os agentes maliciosos comprometeram com sucesso instaladores oficiais do Windows distribuídos pelo site legítimo do DAEMON Tools, incorporando código malicioso em pacotes de software com assinatura digital. Como os instaladores continham certificados de desenvolvedor autênticos, o malware parecia confiável e contornou facilmente as defesas de segurança convencionais.
As versões do instalador comprometidas variaram de 12.5.0.2421 a 12.5.0.2434, com atividade maliciosa rastreada até 8 de abril de 2026. Apenas a edição para Windows do software foi afetada, enquanto a versão para Mac permaneceu intacta. Após a divulgação do incidente, a desenvolvedora AVB Disc Soft lançou a versão 12.6.0.2445, que remove a funcionalidade maliciosa e corrige a vulnerabilidade.
Índice
Componentes maliciosos ocultos em processos legítimos
Os investigadores descobriram que os atacantes modificaram três componentes críticos do DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Sempre que algum desses binários era executado, normalmente durante a inicialização do sistema, eles ativavam um implante oculto na máquina infectada. O implante se comunicava com um domínio externo, env-check.daemontools.cc, registrado em 27 de março de 2026, para recuperar comandos do shell executados por meio do processo cmd.exe do Windows.
Os comandos baixados desencadearam a implantação de malware adicional, permitindo que os invasores expandissem o controle sobre os sistemas comprometidos, permanecendo ocultos no comportamento confiável do software.
Implantação de malware em múltiplos estágios gera alerta.
A cadeia de ataque envolveu diversas cargas úteis secundárias projetadas para reconhecimento, persistência e controle remoto. Entre os arquivos implantados estavam:
envchk.exe — uma ferramenta de reconhecimento baseada em .NET capaz de coletar informações detalhadas do sistema.
cdg.exe e cdg.tmp — componentes usados para descriptografar e iniciar um backdoor leve capaz de baixar arquivos, executar comandos do shell e rodar shellcode diretamente na memória.
Analistas de segurança também identificaram a distribuição de um trojan de acesso remoto conhecido como QUIC RAT. O malware suporta diversos métodos de comunicação de Comando e Controle (C2), incluindo HTTP, TCP, UDP, DNS, WSS, QUIC e HTTP/3. Além disso, ele pode injetar payloads maliciosos em processos legítimos do Windows, como notepad.exe e conhost.exe, dificultando significativamente a detecção.
Milhares expostos, mas apenas vítimas selecionadas são alvo.
Os pesquisadores observaram milhares de tentativas de infecção ligadas aos instaladores comprometidos em mais de 100 países, incluindo Rússia, Brasil, Turquia, Alemanha, França, Itália, Espanha e China. Apesar da ampla disseminação da infecção, apenas um número limitado de sistemas recebeu o payload avançado do backdoor, indicando uma estratégia de direcionamento altamente seletiva.
O malware subsequente foi detectado em organizações que atuam nos setores de varejo, pesquisa científica, governo, manufatura e educação na Rússia, Bielorrússia e Tailândia. Uma infecção confirmada por QUIC RAT teve como alvo específico uma instituição de ensino na Rússia.
Essa implantação seletiva sugere fortemente que a campanha foi planejada para atingir alvos com precisão, em vez de infectar indiscriminadamente uma massa de inimigos. No entanto, os pesquisadores ainda não determinaram se os atacantes pretendiam realizar operações de ciberespionagem ou ataques de "caça a grandes alvos" com motivação financeira.
As evidências apontam para um agente de ameaça sofisticado que fala chinês.
Embora nenhum grupo de ameaças conhecido tenha sido oficialmente vinculado à operação, a análise forense dos artefatos do malware sugere o envolvimento de um adversário de língua chinesa. A complexidade da intrusão, combinada com a capacidade de comprometer software assinado e distribuído por meio de um canal oficial do fornecedor, demonstra recursos ofensivos avançados e planejamento operacional de longo prazo.
A violação de segurança do DAEMON Tools se junta a uma onda crescente de ataques à cadeia de suprimentos de software observada durante o primeiro semestre de 2026. Incidentes semelhantes afetaram anteriormente o eScan em janeiro, o Notepad++ em fevereiro e o CPUID em abril.
Por que os ataques à cadeia de suprimentos são tão perigosos
As falhas na cadeia de suprimentos continuam sendo especialmente perigosas porque exploram a confiança inerente que os usuários depositam em fornecedores de software legítimos. Aplicativos baixados diretamente de sites oficiais e assinados com certificados digitais válidos raramente são tratados como suspeitos por usuários ou produtos de segurança.
Neste caso, a atividade maliciosa permaneceu indetectada por quase um mês, evidenciando tanto a sofisticação dos atacantes quanto as limitações das defesas de segurança tradicionais baseadas em perímetro. Profissionais de segurança enfatizam que organizações que utilizam versões afetadas do DAEMON Tools devem isolar imediatamente os sistemas impactados e conduzir operações abrangentes de busca de ameaças para identificar possíveis movimentações laterais ou atividades maliciosas adicionais dentro das redes corporativas.
Resposta do fornecedor e medidas de mitigação recomendadas
A AVB Disc Soft declarou que a violação parece estar limitada à edição Lite do software e confirmou que uma investigação está em andamento para determinar o alcance total e a causa raiz do incidente.
Usuários que baixaram ou instalaram o DAEMON Tools Lite versão 12.5.1 durante o período afetado são fortemente aconselhados a remover o software imediatamente, realizar uma verificação completa de antivírus e segurança de endpoint usando ferramentas de segurança confiáveis e reinstalar apenas a versão limpa mais recente obtida diretamente do site oficial do DAEMON Tools.
