Los instaladores de DAEMON Tools fueron troyanizados en un ataque de supply-chain que propagó una backdoor a escala mundial

Investigadores de seguridad afirman que instaladores oficiales de DAEMON Tools fueron troyanizados en un ataque de supply-chain activo desde el 8 de abril, distribuyendo una backdoor a miles de sistemas en más de 100 países. El aspecto más grave es que la infección habría llegado desde el sitio oficial del proveedor.

Lo que se sabe

Las versiones comprometidas van de la 12.5.0.2421 a la 12.5.0.2434. Entre los binarios maliciosos identificados figuran DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe. La primera fase del malware recopilaba datos de perfil del host y del sistema, mientras que la segunda podía ejecutar comandos y descargar archivos.

Por qué importa

Solo una docena aproximada de equipos recibió el payload de segunda etapa, lo que sugiere selección de objetivos tras una infección masiva inicial. Entre las víctimas posteriores hubo organizaciones de comercio minorista, ciencia, gobierno y manufactura en Rusia, Bielorrusia y Tailandia. Kaspersky observó QUIC RAT en al menos un caso. DAEMON Tools no había comentado públicamente al momento de la publicación. El caso vuelve a mostrar que los ataques de supply-chain siguen siendo una de las formas más peligrosas de convertir software legítimo en un canal de malware.