Qualquer pessoa que baixou o Daemon Tools Lite do site do fabricante desde 8 de abril já carregou malware em seu computador. O instalador é assinado com um certificado digital oficial e inicialmente parece invisível. Aparentemente é um ataque à cadeia de abastecimento.
Leia mais depois do anúncio
Os analistas de vírus da Kaspersky encontraram o instalador infectado. Na investigação, eles afirmaram que o instalador está trojanizado desde 8 de abril de 2026 – e isso continua até o download atual. Os pesquisadores de TI descobriram isso no início de maio e conseguiram identificar antigos instaladores infectados. Os instaladores Daemon Tools e Daemon Tools Lite das versões 12.5.0.2421 a 12.5.0.2434 são afetados. A análise da versão 12.5.0.233b do instalador Lite no VirusTotal confirma, com detecção heurística pelo Kaspersky (HEUR:Trojan.Win64.Agent.gen), a infecção de arquivos que agora podem ser baixados no site oficial do Daemon Tools (atenção, enquanto os relatos ainda são downloads de Trojan!). A Kaspersky entrou em contato com o fabricante do Daemon Tool, AVB Disc Soft, mas até agora parece não ter tido sucesso.
Com base na análise do malware, os pesquisadores de TI classificaram o invasor como chinês. A telemetria dos sensores da Kaspersky mostra que indivíduos e organizações de mais de 100 países instalaram software para manipular imagens de disco, como imagens ISO em versões infectadas. No entanto, de todas as máquinas afetadas, apenas doze níveis adicionais de malware foram recarregados. Eles incluem varejo, ciência, governo e indústrias de manufatura. Esta é uma indicação de um ataque direcionado. As vítimas vieram da Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China.
mais detalhes
Os interessados podem encontrar detalhes mais detalhados sobre malware e arquivos infectados na análise da Kaspersky. O malware coleta, entre outras coisas, informações que incluem dados de hardware, como endereços MAC ou sobre processos em execução e software instalado. Também está equipado com uma porta traseira minimalista. Por fim, a Kaspersky apresenta uma lista mais longa de indicadores de comprometimento (IOC).
Recentemente, houve um aumento nos ataques em que atores mal-intencionados injetam códigos maliciosos em software confiável. No final do ano passado, o poderoso editor de texto Notepad++ foi atingido. O site CPUID, que abriga as populares ferramentas CPU-Z e HWMonitor, também distribuiu malware em meados de abril.
(dmk)
