Instaladores do DAEMON Tools foram trojanizados em ataque de supply-chain que espalhou uma backdoor globalmente

Pesquisadores de segurança afirmam que instaladores oficiais do DAEMON Tools foram trojanizados em um ataque de supply-chain em andamento desde 8 de abril, distribuindo uma backdoor para milhares de sistemas em mais de 100 países. O ponto mais alarmante é que a cadeia de infecção teria partido do próprio site oficial.

O que foi identificado

As versões comprometidas vão da 12.5.0.2421 até a 12.5.0.2434. Entre os arquivos maliciosos citados estão DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. O primeiro estágio do malware coletava dados de perfil do host e do sistema; o segundo podia executar comandos e baixar arquivos adicionais.

Relevância do caso

Apenas cerca de uma dúzia de máquinas recebeu o payload de segundo estágio, o que sugere seleção cuidadosa de alvos após a distribuição em massa. Entre as vítimas seguintes estavam organizações de varejo, ciência, governo e manufatura na Rússia, Belarus e Tailândia. A Kaspersky observou QUIC RAT em pelo menos um caso. Até a publicação, a DAEMON Tools não havia comentado. O episódio reforça que ataques de supply-chain continuam sendo um dos vetores mais perigosos para transformar software legítimo em canal de malware.