){kind=small}
)
O DAEMON Tools Lite, software gratuito de emulação de discos virtuais com milhões de usuários no mundo, foi comprometido em um ataque à cadeia de suprimentos descoberto pela Kaspersky e confirmado pela desenvolvedora Disc Soft Limited em 5 de maio.
Hackers infiltraram os servidores da empresa e substituíram os instaladores oficiais por versões adulteradas, que infectaram dispositivos em mais de 100 países desde 8 de abril.
Nossos vídeos em destaque
O que é um ataque à cadeia de suprimentos
Num ataque à cadeia de suprimentos, o invasor não ataca o usuário final diretamente. Ele compromete o próprio canal de distribuição do software, nesse caso, o site oficial do DAEMON Tools Lite. Quem baixou o programa achando que estava instalando algo legítimo acabou executando um arquivo malicioso.
)
O que tornou o ataque mais difícil de detectar é que os instaladores comprometidos eram digitalmente assinados. Basicamente, isso significa que eles passavam pelos sistemas de verificação de segurança do Windows como se fossem arquivos confiáveis, pois carregavam uma assinatura digital válida.
Como o malware funcionava
Ao executar o instalador adulterado, o usuário ativava sem saber um código malicioso em segundo plano. Esse código coletava informações do sistema, como nome do computador, endereço MAC, lista de processos em execução, softwares instalados e idioma configurado. Depois, enviava tudo para servidores controlados pelos atacantes.
Isso porque essa etapa servia para perfilar as vítimas. Com base nos dados recebidos, os invasores decidiam quais dispositivos receberiam um segundo payload, uma backdoor leve capaz de executar comandos remotamente, baixar arquivos e rodar código diretamente na memória do sistema.
)
Em pelo menos um caso, a Kaspersky identificou a instalação de um malware chamado QUIC RAT, capaz de injetar código malicioso em processos legítimos do sistema e se comunicar por múltiplos protocolos de rede.
Quem foi afetado
A Kaspersky identificou vítimas em mais de 100 países. Entre os alvos estavam organizações dos setores de varejo, ciência, governo e indústria na Rússia, Bielorrússia e Tailândia. Usuários domésticos no Brasil, Turquia, Espanha, Alemanha, França, Itália e China também foram afetados.
A Disc Soft confirmou que apenas a versão gratuita do DAEMON Tools Lite foi comprometida, especificamente as versões numeradas entre 12.5.0.2421 e 12.5.0.2434. As versões pagas do programa, o DAEMON Tools Pro e o DAEMON Tools Ultra não foram afetados.
)
O que diz a empresa
Segundo a Disc Soft, a empresa foi notificada sobre o problema por volta das 7h GMT do dia 5 de maio e concluiu as medidas de resposta em menos de 12 horas. Nesse período, isolou os sistemas comprometidos, removeu os instaladores adulterados da distribuição, auditou o pipeline de build e liberou uma versão limpa do software, a 12.6.0.2445.
A Kaspersky confirmou que a nova versão não apresenta o comportamento malicioso identificado anteriormente. A empresa ainda não atribuiu o ataque a nenhum grupo específico e segue investigando o vetor de entrada usado pelos invasores.
Usuários que baixaram o DAEMON Tools Lite versão 12.5.1 (gratuita) entre 8 de abril e 5 de maio devem desinstalar o aplicativo imediatamente, executar uma varredura completa com um antivírus confiável e, em seguida, baixar a versão 12.6 diretamente do site oficial do DAEMON Tools.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
