Atac asupra lanțului de aprovizionare DAEMON Tools
Cercetătorii în domeniul securității cibernetice au descoperit un atac sofisticat asupra lanțului de aprovizionare care a implicat programe de instalare DAEMON Tools. Actorii amenințători au compromis cu succes programele de instalare oficiale Windows distribuite prin intermediul site-ului web legitim DAEMON Tools, încorporând cod rău intenționat în pachete software semnate digital. Deoarece programele de instalare dețineau certificate autentice de dezvoltator, malware-ul părea de încredere și a ocolit cu ușurință apărările de securitate convenționale.
Versiunile de instalare compromise au variat de la 12.5.0.2421 la 12.5.0.2434, activitatea rău intenționată fiind urmărită până pe 8 aprilie 2026. Doar ediția pentru Windows a software-ului a fost afectată, în timp ce versiunea pentru Mac a rămas intactă. În urma dezvăluirii incidentului, dezvoltatorul AVB Disc Soft a lansat versiunea 12.6.0.2445, care elimină funcționalitatea rău intenționată și remediază breșa.
Cuprins
Componente rău intenționate ascunse în procese legitime
Anchetatorii au descoperit că atacatorii au modificat trei componente critice ale DAEMON Tools:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Ori de câte ori oricare dintre aceste fișiere binare se lansa, de obicei în timpul pornirii sistemului, acestea activau un implant ascuns pe mașina infectată. Implantul comunica cu un domeniu extern, env-check.daemontools.cc, înregistrat pe 27 martie 2026, pentru a prelua comenzile shell executate prin procesul cmd.exe din Windows.
Comenzile descărcate au declanșat implementarea suplimentară de programe malware, permițând atacatorilor să extindă controlul asupra sistemelor compromise, rămânând în același timp ascunși în comportamentul software-ului de încredere.
Implementarea de programe malware în mai multe etape trage semnale de alarmă
Lanțul de atac a implicat mai multe sarcini utile secundare concepute pentru recunoaștere, persistență și control de la distanță. Printre fișierele implementate s-au numărat:
envchk.exe — un instrument de recunoaștere bazat pe .NET capabil să colecteze informații detaliate despre sistem.
cdg.exe și cdg.tmp — componente folosite pentru decriptarea și lansarea unui backdoor ușor capabil să descarce fișiere, să execute comenzi shell și să ruleze cod shell direct în memorie.
Analiștii de securitate au identificat, de asemenea, distribuirea unui troian de acces la distanță cunoscut sub numele de QUIC RAT. Malware-ul acceptă numeroase metode de comunicare Command-and-Control (C2), inclusiv HTTP, TCP, UDP, DNS, WSS, QUIC și HTTP/3. În plus, poate injecta sarcini utile malițioase în procese Windows legitime, cum ar fi notepad.exe și conhost.exe, ceea ce face detectarea semnificativ mai dificilă.
Mii de persoane expuse, dar doar anumite victime vizate
Cercetătorii au observat câteva mii de tentative de infectare legate de programele de instalare compromise în peste 100 de țări, inclusiv Rusia, Brazilia, Turcia, Germania, Franța, Italia, Spania și China. În ciuda amprentei extinse a infecțiilor, doar un număr limitat de sisteme au primit sarcina utilă avansată backdoor, indicând o strategie de direcționare extrem de selectivă.
Malware-ul ulterior a fost detectat în cadrul unor organizații care operează în sectoarele comerțului cu amănuntul, cercetării științifice, guvernului, producției și educației din Rusia, Belarus și Thailanda. O infecție confirmată cu QUIC RAT a vizat în mod specific o instituție de învățământ din Rusia.
Această desfășurare selectivă sugerează cu tărie că a fost concepută pentru o direcționare precisă, mai degrabă decât pentru o infectare în masă fără discernământ. Cu toate acestea, cercetătorii nu au stabilit încă dacă atacatorii intenționau să desfășoare operațiuni de ciberspionaj sau atacuri de „vânătoare de vânat mare” motivate financiar.
Dovezile indică un actor de amenințare sofisticat, vorbitor de chineză
Deși niciun grup de amenințări cunoscut nu a fost oficial asociat cu operațiunea, analiza criminalistică a artefactelor malware sugerează implicarea unui adversar vorbitor de chineză. Complexitatea intruziunii, combinată cu capacitatea de a compromite software semnat, distribuit printr-un canal oficial al furnizorului, demonstrează capacități ofensive avansate și planificare operațională pe termen lung.
Compromisul DAEMON Tools se alătură unui val tot mai mare de atacuri asupra lanțului de aprovizionare software observate în prima jumătate a anului 2026. Incidente similare au afectat anterior eScan în ianuarie, Notepad++ în februarie și CPUID în aprilie.
De ce sunt atât de periculoase atacurile asupra lanțului de aprovizionare
Compromisurile lanțului de aprovizionare rămân deosebit de periculoase deoarece exploatează încrederea inerentă pe care utilizatorii o au în furnizorii legitimi de software. Aplicațiile descărcate direct de pe site-uri web oficiale și semnate cu certificate digitale valide sunt rareori tratate ca suspecte de către utilizatori sau produse de securitate.
În acest caz, activitatea rău intenționată a rămas nedetectată timp de aproape o lună, evidențiind atât sofisticarea atacatorilor, cât și limitele apărării tradiționale de securitate bazate pe perimetru. Profesioniștii în domeniul securității subliniază faptul că organizațiile care utilizează versiunile DAEMON Tools afectate ar trebui să izoleze imediat sistemele afectate și să desfășoare operațiuni complete de căutare a amenințărilor pentru a identifica posibile mișcări laterale sau activități rău intenționate suplimentare în cadrul rețelelor corporative.
Răspunsul furnizorului și măsurile de atenuare recomandate
AVB Disc Soft a declarat că încălcarea pare să se limiteze la ediția Lite a software-ului și a confirmat că este în curs de desfășurare o investigație pentru a determina amploarea completă și cauza principală a incidentului.
Utilizatorilor care au descărcat sau instalat DAEMON Tools Lite versiunea 12.5.1 în perioada de timp afectată li se recomandă insistent să elimine imediat software-ul, să efectueze o scanare antivirus completă și de securitate endpoint folosind instrumente de securitate de încredere și să reinstaleze doar cea mai recentă versiune curată obținută direct de pe site-ul oficial DAEMON Tools.
