O popular software de imagem de discos DAEMON Tools foi alvo de um ataque à cadeia de fornecimento. Desde o início de abril de 2026, instaladores comprometidos têm sido distribuídos pelos canais oficiais do programa. Segundo os detalhes publicados pela Kaspersky, os piratas informáticos inseriram um malware em ficheiros assinados digitalmente, permitindo a infeção de computadores sob a aparência de uma simples atualização legítima.
Como funcionava a cadeia de infeção
A campanha maliciosa teve início a 8 de abril de 2026, afetando as versões 12.5.0.2421 até à 12.5.0.2434 do programa. Os instaladores manipulados encontravam-se alojados no site oficial e possuíam certificados digitais válidos da produtora AVB Disc Soft. Esta tática conferiu uma aparência de autenticidade aos ficheiros, aumentando drasticamente o sucesso das infeções. As análises indicam que a infraestrutura do ataque continua operacional no início de maio.
Ficheiros centrais do programa, como o DTHelper.exe e o DTShellHlp.exe, foram modificados para incluir uma porta traseira oculta. Após a instalação, estes componentes arrancam automaticamente com o sistema operativo e estabelecem uma ligação a um servidor de controlo externo. Para dificultar a deteção, os atacantes utilizaram um domínio falso semelhante ao do próprio DAEMON Tools, que tinha sido registado poucos dias antes do início das operações.
O roubo de informações e os alvos prioritários
O ataque foi desenhado por fases. Inicialmente, as máquinas comprometidas recebem um ficheiro encarregue de recolher dados do sistema, como o endereço MAC, configuração de rede, localização e processos em execução. Estas informações são enviadas para os servidores dos atacantes para avaliar a relevância do computador infetado. Alguns fragmentos deste código contêm caracteres em idioma chinês, embora não exista ainda uma atribuição oficial da autoria a nenhum grupo específico.
Apesar de se registarem milhares de tentativas de infeção a nível global, apenas um grupo reduzido de vítimas recebeu cargas maliciosas adicionais. Estes alvos de alto valor pertencem aos setores governamental, de investigação científica, produção e retalho. Num dos casos confirmados, foi instalado um implante avançado conhecido como QUIC RAT, capaz de injetar código em processos legítimos do sistema e usar vários protocolos de comunicação.
O maior número de infeções foi registado na Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China. Cerca de dez por cento dos equipamentos afetados pertencem a organizações empresariais. As autoridades de cibersegurança recomendam a realização de auditorias a todos os sistemas onde o programa tenha sido instalado ou atualizado após o dia 8 de abril de 2026, prestando especial atenção a atividades incomuns de rede.
Nenhum comentário
Seja o primeiro!