El equipo de Investigación y Análisis Global de Kaspersky
(GReAT) descubrió un ataque activo a la cadena de suministro dirigido al sitio
web oficial de Daemon Tools, un software ampliamente utilizado para la
emulación de unidades virtuales. Durante un reciente estudio de telemetría, los
investigadores identificaron que los atacantes han distribuido activamente el
software modificado directamente a través del dominio principal del proveedor
desde el 8 de abril de 2026, ocultando con éxito el malware mediante un
certificado digital de desarrollador válido.
La inyección maliciosa afecta a Daemon Tools desde la
versión 12.5.0.2421 hasta la versión actual. Kaspersky ya notificó a AVB Disc
Soft, desarrollador de Daemon Tools, para que se puedan tomar las medidas de
remediación correspondientes.
Dado que el software de emulación de discos requiere
acceso de bajo nivel al sistema para funcionar correctamente, los usuarios
suelen otorgar privilegios administrativos elevados a la aplicación durante la
instalación. Este mecanismo permite que el malware incrustado establezca una
presencia profunda en el sistema operativo anfitrión, comprometiendo gravemente
la integridad del dispositivo. En concreto, los atacantes manipularon binarios
legítimos de la aplicación para ejecutar código malicioso al inicio del proceso
y aprovecharon un servicio legítimo de Windows para mantener la persistencia en
el sistema.
La telemetría de Kaspersky indica una distribución global
y amplia de las actualizaciones comprometidas en más de 100 países y
territorios. La mayoría de las víctimas se encuentran en Rusia, Brasil,
Colombia, Chile, Turquía, España, Alemania, Francia, Italia y China.
El análisis muestra que el 10% de los sistemas afectados
pertenecen a empresas y organizaciones. Si bien Daemon Tools tiene una amplia
adopción entre los usuarios particulares, su presencia en entornos corporativos
expone a las redes empresariales a graves riesgos.
En un subconjunto reducido de poco más de diez máquinas —
pertenecientes a organizaciones de los sectores minorista, científico,
gubernamental y manufacturero —, Kaspersky GReAT observó que los atacantes
desplegaban manualmente cargas
adicionales, incluido un inyector de shellcode y troyanos
de acceso remoto (RAT) previamente desconocidos. El perfil sectorial reducido
de estas víctimas, junto con los errores tipográficos e inconsistencias en los
comandos ejecutados, indica que la actividad posterior se realiza de forma
manual contra objetivos específicamente seleccionados. Aunque los
investigadores identificaron artefactos en idioma chino dentro de los implantes
maliciosos, la campaña no se atribuye actualmente a ningún actor de amenazas
conocido.
Un compromiso de esta naturaleza elude las defensas perimetrales tradicionales, ya que los usuarios confían implícitamente en el software firmado digitalmente descargado directamente de un proveedor oficial”, afirmó Georgy Kucherin, investigador senior en Kaspersky GReAT. “Por este motivo, el ataque a Daemon Tools ha pasado desapercibido durante aproximadamente un mes. Este lapso
No hay comentarios:
Publicar un comentario