Uma nova ataque à cadeia de suprimentos, identificado pela Kaspersky, comprometeu instaladores do software DAEMON Tools para distribuir um payload malicioso.
Segundo os pesquisadores Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko e Anton Kargin, os instaladores são distribuídos pelo site legítimo do DAEMON Tools e assinados com certificados digitais pertencentes aos desenvolvedores do programa.
Os instaladores vêm sendo trojanizados desde 8 de abril de 2026.
As versões 12.5.0.2421 até 12.5.0.2434 foram identificadas como comprometidas no incidente, que segue ativo até o momento da publicação.
A AVB Disc Soft, desenvolvedora do software, já foi notificada sobre a invasão.
Três componentes do DAEMON Tools foram adulterados:
DTHelper.exe
DiscSoftBusServiceLite.exe
DTShellHlp.exe
Sempre que um desses binários é executado, algo que normalmente ocorre na inicialização do sistema, um implant é ativado no host comprometido.
Esse implant foi projetado para enviar uma solicitação HTTP GET a um servidor externo, em env-check.daemontools[.]cc, domínio registrado em 27 de março de 2026, para receber um comando de shell executado por meio do processo cmd.exe.
Esse comando é usado para baixar e executar uma série de payloads executáveis.
Entre eles estão envchk.exe, um executável .NET voltado à coleta de informações detalhadas do sistema, e cdg.exe e cdg.tmp.
O primeiro é um carregador de shellcode responsável por descriptografar o conteúdo do segundo arquivo e iniciar um backdoor minimalista, capaz de se comunicar com um servidor remoto para baixar arquivos, executar comandos de shell e rodar payloads de shellcode na memória.
A empresa russa de cibersegurança informou ter observado vários milhares de tentativas de infecção envolvendo o DAEMON Tools em sua telemetria, afetando pessoas e organizações em mais de 100 países, incluindo Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China.
No entanto, o backdoor da fase seguinte foi entregue a apenas uma dúzia de hosts, o que indica uma abordagem direcionada.
Os sistemas que receberam o malware subsequente foram associados a organizações dos setores de varejo, científico, governamental e de manufatura na Rússia, Belarus e Tailândia.
Além disso, um dos payloads entregues por meio do backdoor é um trojan de acesso remoto apelidado de QUIC RAT.
O uso do implant em C++ foi registrado contra uma única vítima, uma instituição de ensino localizada na Rússia.
"Essa forma de implantar o backdoor em um pequeno subconjunto de máquinas infectadas indica claramente que o atacante pretendia conduzir a infecção de maneira direcionada", afirmou a Kaspersky.
"No entanto, sua intenção, seja ciberespionagem ou caça a grandes alvos, ainda não está clara."
O malware oferece suporte a uma variedade de protocolos de comando e controle, incluindo HTTP, UDP, TCP, WSS, QUIC, DNS e HTTP/3, e vem equipado com recursos para injetar payloads nos processos legítimos notepad.exe e conhost.exe.
A atividade ainda não foi atribuída a nenhum threat actor ou grupo conhecido.
Ainda assim, evidências apontam para a atuação de um adversário de língua chinesa, com base na análise dos artefatos observados.
O comprometimento do DAEMON Tools é o mais recente em uma lista crescente de incidentes de cadeia de suprimentos de software no primeiro semestre de 2026 e segue casos de grande repercussão envolvendo eScan em janeiro, Notepad++ em fevereiro e CPUID em abril.
"Um comprometimento dessa natureza contorna as defesas tradicionais de perímetro porque os usuários confiam implicitamente em software assinado digitalmente e baixado diretamente de um fornecedor oficial", disse Leonid Kucherin, pesquisador sênior de segurança da Kaspersky GReAT.
"Por isso, o ataque ao DAEMON Tools passou despercebido por cerca de um mês.
Esse período, por sua vez, indica que o threat actor por trás da ação é sofisticado e possui capacidades ofensivas avançadas.
Diante da alta complexidade do comprometimento, é fundamental que as organizações isolem máquinas com o DAEMON Tools instalado e realizem varreduras de segurança para impedir a propagação de atividades maliciosas dentro das redes corporativas."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...