DAEMON Tools confirma violação de supply-chain e lança substituição limpa

A Disc Soft, empresa por trás do DAEMON Tools, confirmou que atacantes adulteraram seu build environment e distribuíram installers trojanizados para a versão gratuita do DAEMON Tools Lite. A empresa diz que a versão 12.6, lançada em 5 de maio, está limpa, enquanto usuários que baixaram ou instalaram a versão 12.5.1 desde 8 de abril devem desinstalá-la, executar um antivirus scan completo e substituí-la pela nova build.

Esse é o tipo de incidente de supply-chain que importa porque transforma um canal oficial de download no mecanismo de entrega do ataque. As equipes de segurança gastam muito tempo ensinando usuários a não instalar software de mirrors suspeitos ou anexos aleatórios. Neste caso, os installers comprometidos teriam sido assinados por code-signing e distribuídos a partir do site legítimo do fornecedor, o que derruba uma das premissas de confiança mais básicas da distribuição de software desktop.

De acordo com o comunicado da Disc Soft e a reportagem da BleepingComputer, a violação afetou determinados pacotes de instalação dentro da infraestrutura da empresa, e não todos os produtos DAEMON Tools. A empresa afirma que as versões pagas do DAEMON Tools Lite, além do DAEMON Tools Ultra e do DAEMON Tools Pro, não foram impactadas. Ainda assim, a janela de exposição continua importante. Pesquisadores da Kaspersky disseram que os installers maliciosos estavam disponíveis desde 8 de abril e foram usados para infectar sistemas em mais de 100 países.

A cadeia de malware parece ter sido seletiva, e não barulhenta. A Kaspersky disse que o primeiro estágio coletava detalhes do host para profiling, incluindo processos em execução, software instalado, localidade e identificadores de rede. Alguns sistemas então receberam uma backdoor de segundo estágio capaz de executar comandos, baixar arquivos e rodar code em memory. Em pelo menos um caso, pesquisadores observaram a implantação do QUIC RAT, que dá aos atacantes uma presença mais duradoura do que um simples infostealer de uso único.

Isso torna o caso mais do que uma nota de limpeza de um vendor de software. Quando um installer assinado de um utilitário conhecido é weaponize, o problema seguinte passa a ser endpoint investigation. As organizações agora precisam tratar qualquer instalação afetada do DAEMON Tools Lite como uma potential intrusion, e não apenas como um download ruim. Isso significa verificar persistence, conexões de saída, payloads subsequentes e qualquer lateral movement que possa ter ocorrido após a instalação inicial.

A Disc Soft diz que protegeu a infraestrutura afetada, mas a empresa ainda não explicou como os atacantes entraram nem quantos downloads foram impactados. Isso deixa os defensores com uma lacuna desconfortável, porém familiar. O produto voltou a ficar disponível em uma versão limpa, mas as equipes de incident response ainda precisam assumir que houve tempo suficiente para uma compromise real em campo, especialmente em endpoints não gerenciados ou pouco monitorados.

A resposta prática é direta. Identifique quaisquer instalações gratuitas do DAEMON Tools Lite adicionadas ou atualizadas desde 8 de abril, remova a build comprometida, escaneie esses sistemas e revise a endpoint telemetry em busca de atividade de payloads secundários. Para vendors de software, a lição mais ampla é igualmente importante. Code-signing e distribuição oficial não bastam se a própria build pipeline puder ser alterada upstream. Como a BleepingComputer relatou primeiro, este incidente é mais um lembrete de que a segurança do build system agora é segurança do produto.