Pesquisadores de segurança divulgaram recentemente que o software de unidade óptica virtual amplamente utilizado DAEMON Tools sofreu um sério ataque à cadeia de suprimentos. Seu instalador oficial foi implantado com backdoor desde o início de abril de 2026 e distribuído por canais formais, afetando milhares de dispositivos em todo o mundo. De acordo com os resultados da investigação divulgados pela Kaspersky, os invasores invadiram o pacote de instalação legítimo e injetaram código malicioso no arquivo binário oficialmente assinado digitalmente, permitindo que o programa malicioso fosse entregue disfarçado como uma atualização de software confiável.
A investigação mostra que esta rodada de ataques começou em 8 de abril de 2026, com várias versões do DAEMON Tools (12.5.0.2421 a 12.5.0.2434) foi "envenenado" e o O programa de instalação adulterado foi hospedado diretamente no site oficial do software e assinado com certificado digital válido do desenvolvedor AVB Disc Soft, o que aumentou muito a probabilidade de os usuários desconfiarem e serem enganados. Os investigadores salientaram que, no início de maio, o ataque ainda estava em curso e a infraestrutura maliciosa correspondente ainda estava ativa.
Neste incidente, vários arquivos executáveis principais, como DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe foram modificados e uma lógica de backdoor oculta foi adicionada. Depois que o software é instalado, esses componentes são executados automaticamente na inicialização do sistema e estabelecem comunicação com servidores externos de comando e controle (C2). O invasor também registrou e ativou um nome de domínio muito semelhante ao nome do site oficial do DAEMON Tools para disfarçar o tráfego malicioso como um comportamento normal de acesso; o nome de domínio só foi registrado alguns dias antes do início do ataque, mostrando que o ataque foi cuidadosamente premeditado e planejado.
Do ponto de vista do link de ataque, esta operação mostrou uma estrutura em fases óbvia. Na maioria dos dispositivos das vítimas, o sistema primeiro recebe uma carga inicial de roubo de informações que é usada para coletar uma variedade de dados ambientais, incluindo endereço MAC, nome do host, lista de software instalado, processos em execução, configuração de rede e configurações de idioma/região do sistema. Esses dados serão carregados em um servidor controlado pelo invasor e provavelmente serão usados para traçar o perfil e avaliar o valor do sistema infectado, decidindo assim se serão lançadas ferramentas de nível superior no futuro. Researchers also found some Chinese character strings in the payload, suggesting that the attacker may be a Chinese user, but there is no formal and clear traceability conclusion yet.
Embora milhares de tentativas de infecção tenham sido detectadas em todo o mundo, apenas um pequeno número de hosts alvo são realmente entregues com o programa malicioso de segundo estágio. Esses “alvos prioritários” são principalmente afiliados a organizações industriais, como governo, manufatura, pesquisa científica e varejo. Este método de entrega limitada e sobrecarga direccionada mostra que não se trata de um simples ataque oportunista, mas mais próximo de uma acção direccionada com a intenção de recolha de inteligência ou penetração estratégica.
Entre as ferramentas de segundo estágio confirmadas, os pesquisadores encontraram um backdoor minimalista que pode executar comandos, baixar arquivos e carregar código malicioso diretamente na memória para ser executado no sistema da vítima e reduzir rastros de aterrissagem. Em pelo menos uma violação bem-sucedida, os invasores também implantaram um implante avançado chamado QUIC RAT. Este programa malicioso suporta vários protocolos de comunicação, como HTTP, TCP, DNS, QUIC, etc., e pode injetar seu próprio código malicioso em processos legítimos, como notepad.exe, ocultando ainda mais seus rastros de atividade.
Os dados de telemetria mostram que tentativas de infecção relacionadas foram observadas em mais de 100 países. As regiões com o maior número de sistemas afetados incluem Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China. Cerca de 10% dos dispositivos afetados pertencem a diversas organizações, e a maior parte do restante permanece apenas no estágio inicial de coleta de dados e não recebe mais cargas úteis do segundo estágio.
A Kaspersky afirmou que seus produtos de segurança podem detectar e interceptar esse ataque em vários aspectos, incluindo a identificação de comportamentos suspeitos de download baseados em PowerShell, programas maliciosos executados a partir de diretórios temporários, atividades que injetam código em processos legítimos e padrões anormais de comunicação de rede externa. Os investigadores recomendam que qualquer organização que tenha instalado o DAEMON Tools após 8 de abril de 2026, realize uma auditoria abrangente dos sistemas relevantes, concentrando-se na verificação de atividades anormais de linha de comando do PowerShell e execuções suspeitas acionadas a partir do diretório temporário. At the same time, organizations should prioritize the implementation of a zero-trust security architecture, limit the executable permissions of temporary directories, and improve overall security resilience through a layered defense strategy.
Este incidente na cadeia de fornecimento da DAEMON Tools mostra mais uma vez que os invasores estão constantemente melhorando seus métodos de ataque contra a cadeia de fornecimento de software, combinando distribuição em grande escala com ataques precisos e usando software legal e confiável como trampolim para penetrar em vários ambientes. Sob esta tendência, mesmo as ferramentas de software habitualmente utilizadas e que há muito são consideradas como “segurança” devem ser consideradas como fontes potenciais de risco, e as organizações precisam de adoptar estratégias de segurança mais prudentes e proactivas para lidar com ameaças cada vez mais complexas à cadeia de abastecimento.