O Daemon Tools, um popular aplicativo para montagem de imagens de disco, foi comprometido em um ataque à cadeia de suprimentos iniciado em 8 de abril, distribuindo malware por meio de atualizações oficiais. A empresa de segurança Kaspersky relatou infecções em milhares de máquinas em mais de 100 países. Usuários são aconselhados a verificar seus sistemas imediatamente.
A Kaspersky revelou em 5 de maio que o ataque ao Daemon Tools começou em 8 de abril e durou cerca de um mês. Instaladores maliciosos, assinados com o certificado digital oficial do desenvolvedor, foram distribuídos a partir do site da AVB. As versões do Windows afetadas variam de 12.5.0.2421 a 12.5.0.2434, com o malware sendo ativado na inicialização para coletar dados como endereços MAC, nomes de host e softwares instalados antes de enviá-los para servidores controlados pelos invasores. Milhares de máquinas foram atingidas, principalmente na Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China, segundo a Kaspersky com base em sua telemetria. Cerca de 10% pertenciam a empresas e organizações, incluindo os setores de varejo, científico, governamental e de manufatura. Apenas cerca de 12 sistemas receberam backdoors avançados, como um minimalista que permite a execução de comandos e downloads de arquivos, ou o mais sofisticado QUIC RAT, detectado em uma máquina educacional russa. "Com base em nossa longa experiência na análise de ataques à cadeia de suprimentos, podemos concluir que os invasores orquestraram o comprometimento do DAEMON Tools de maneira altamente sofisticada", escreveram os pesquisadores da Kaspersky. Eles observaram semelhanças com incidentes passados, como o ataque ao 3CX em 2023, que também levou cerca de um mês para ser detectado. A Kaspersky aconselhou os usuários a verificar as máquinas com softwares antivírus e a procurar por indicadores de comprometimento listados em seu relatório, especialmente injeções de código suspeitas em processos como o notepad.exe a partir de diretórios como Temp ou AppData. Nem a Kaspersky nem a desenvolvedora AVB forneceram detalhes imediatos adicionais.
