La aplicación Daemon Tools, afectada por un ataque a la cadena de suministro durante un mes

Kaspersky reveló el 5 de mayo que el ataque a Daemon Tools comenzó el 8 de abril y continuó durante aproximadamente un mes. Se distribuyeron instaladores maliciosos, firmados con el certificado digital oficial del desarrollador, desde el sitio web del desarrollador AVB. Las versiones de Windows afectadas van desde la 12.5.0.2421 hasta la 12.5.0.2434, activándose el malware durante el inicio para recopilar datos como direcciones MAC, nombres de host y software instalado antes de enviarlos a servidores controlados por los atacantes. Miles de equipos fueron afectados, principalmente en Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China, señaló Kaspersky basándose en su telemetría. Aproximadamente el 10% pertenecía a empresas y organizaciones, incluidos los sectores minorista, científico, gubernamental y manufacturero. Solo unos 12 sistemas recibieron puertas traseras avanzadas, como una minimalista que permitía la ejecución de comandos y descargas de archivos, o el más sofisticado QUIC RAT detectado en un equipo educativo ruso. “Basándonos en nuestra larga experiencia analizando ataques a la cadena de suministro, podemos concluir que los atacantes orquestaron el compromiso de DAEMON Tools de una manera altamente sofisticada”, escribieron los investigadores de Kaspersky. Observaron similitudes con incidentes pasados como el ataque a 3CX de 2023, que también tardó alrededor de un mes en detectarse. Kaspersky aconsejó a los usuarios que analicen sus equipos con software antivirus y busquen indicadores de compromiso enumerados en su informe, especialmente inyecciones de código sospechosas en procesos como notepad.exe desde directorios como Temp o AppData. Ni Kaspersky ni el desarrollador AVB proporcionaron más detalles inmediatos.