DAEMON Tools confirma una brecha de supply-chain y publica un reemplazo limpio

Disc Soft, la empresa detrás de DAEMON Tools, ha confirmado que atacantes manipularon su build environment y publicaron installers troyanizados para la versión gratuita de DAEMON Tools Lite. La compañía afirma que la versión 12.6, lanzada el 5 de mayo, está limpia, mientras que los usuarios que descargaron o instalaron la versión 12.5.1 desde el 8 de abril deben desinstalarla, ejecutar un antivirus scan completo y sustituirla por la nueva build.

Este es el tipo de incidente de supply-chain que importa porque convierte un canal oficial de descarga en el mecanismo de entrega del ataque. Los equipos de seguridad dedican mucho tiempo a enseñar a los usuarios que no instalen software desde mirrors dudosos o adjuntos aleatorios. En este caso, los installers comprometidos habrían sido firmados mediante code-signing y distribuidos desde el sitio legítimo del proveedor, lo que derrumba una de las suposiciones de confianza más básicas en la distribución de software de escritorio.

Según la declaración de Disc Soft y la cobertura de BleepingComputer, la brecha afectó a ciertos paquetes de instalación dentro de la infraestructura de la empresa, y no a todos los productos DAEMON Tools. La compañía dice que las versiones de pago de DAEMON Tools Lite, además de DAEMON Tools Ultra y DAEMON Tools Pro, no se vieron afectadas. Aun así, la ventana de exposición sigue siendo importante. Investigadores de Kaspersky dijeron que los installers maliciosos estaban disponibles desde el 8 de abril y se usaron para infectar sistemas en más de 100 países.

La cadena de malware parece haber sido selectiva y no ruidosa. Kaspersky dijo que la primera fase recopilaba detalles del host para profiling, incluidos procesos en ejecución, software instalado, configuración regional e identificadores de red. Después, algunos sistemas recibieron una backdoor de segunda fase capaz de ejecutar comandos, descargar archivos y ejecutar code en memory. En al menos un caso, los investigadores observaron el despliegue de QUIC RAT, que da a los atacantes una presencia más duradera que un simple infostealer de un solo uso.

Eso convierte el caso en algo más que una nota de limpieza de un vendor de software. Una vez que un installer firmado de una utilidad conocida se weaponize, el problema posterior pasa a ser una endpoint investigation. Las organizaciones ahora deben tratar cualquier instalación afectada de DAEMON Tools Lite como una possible intrusion, no solo como una mala descarga. Eso implica revisar persistence, conexiones salientes, payloads posteriores y cualquier lateral movement que pudiera haberse producido tras la instalación inicial.

Disc Soft dice que ya aseguró la infraestructura afectada, pero la empresa todavía no ha explicado cómo entraron los atacantes ni cuántas descargas se vieron afectadas. Eso deja a los defensores con una brecha incómoda, aunque familiar. El producto vuelve a estar disponible en una versión limpia, pero los equipos de incident response aún deben asumir que hubo tiempo suficiente para un compromise real en entornos de producción, especialmente en endpoints no gestionados o poco monitorizados.

La respuesta práctica es directa. Identifique cualquier instalación gratuita de DAEMON Tools Lite añadida o actualizada desde el 8 de abril, elimine la build comprometida, escanee esos sistemas y revise la endpoint telemetry en busca de actividad de payloads secundarios. Para los vendors de software, la lección más amplia es igual de importante. El code-signing y la distribución oficial no bastan si la propia build pipeline puede alterarse aguas arriba. Como informó primero BleepingComputer, este incidente recuerda una vez más que la seguridad del build system ya es seguridad del producto.