Daemon Tools

A Disc Soft Limited, desenvolvedora do Daemon Tools Lite, confirmou que seus sistemas foram invadidos, resultando na transformação de uma versão do aplicativo em um trojan. O ataque foi realizado por meio de exploração da cadeia de suprimento, afetando especificamente as versões 12.5.0.2421 a 12.5.0.2434. Após a identificação do problema, a empresa conseguiu remover o malware em 12 horas e lançou a versão 12.6, que está livre de ameaças. A Kaspersky relatou que o malware, classificado como infostealer, comprometeu usuários em mais de 100 países, incluindo o Brasil, e é capaz de roubar informações do sistema e executar comandos maliciosos. A Disc Soft reforçou sua infraestrutura, mas ainda não identificou os responsáveis pelo ataque. Usuários que instalaram a versão afetada devem desinstalar o aplicativo, realizar uma varredura em seus sistemas e instalar a versão mais recente a partir do site oficial.

A Disc Soft Limited, desenvolvedora do DAEMON Tools Lite, confirmou que o software foi comprometido em um ataque à cadeia de suprimentos, resultando na liberação de uma versão trojanizada. A empresa anunciou que já corrigiu a vulnerabilidade e lançou a versão 12.6, livre de malware, em 5 de maio. O ataque, que afetou usuários que baixaram a versão 12.5.1 desde 8 de abril, permitiu que hackers instalassem um backdoor em milhares de sistemas em mais de 100 países, incluindo Brasil, Rússia e Alemanha. O malware inicial coletava dados do sistema e, em alguns casos, um backdoor mais avançado foi implantado, permitindo execução de comandos e download de arquivos. A Disc Soft removeu a versão comprometida e recomenda que os usuários afetados desinstalem o software, realizem uma varredura completa com antivírus e instalem a nova versão. A Kaspersky, que investigou o incidente, destacou que o malware afetou organizações de diversos setores e que a nova versão do DAEMON Tools não apresenta mais comportamentos maliciosos.

Desde 8 de abril, hackers têm distribuído instaladores trojanizados do software DAEMON Tools, resultando em uma infecção em milhares de sistemas em mais de 100 países. O ataque de supply chain, que ainda está em andamento, afetou principalmente organizações de varejo, científicas, governamentais e de manufatura na Rússia, Belarus e Tailândia. As versões comprometidas incluem DAEMON Tools de 12.5.0.2421 a 12.5.0.2434, com os arquivos DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe sendo os principais alvos. Após a instalação, o malware coleta informações do sistema e pode baixar e executar cargas adicionais. Em alguns casos, um backdoor mais avançado, chamado QUIC RAT, foi implantado, permitindo a injeção de código malicioso em processos legítimos. A Kaspersky, que está monitorando o ataque, alerta que a complexidade do incidente exige que as organizações verifiquem máquinas que tiveram o DAEMON Tools instalado para atividades anômalas desde a data do ataque. Embora não tenha sido atribuído a um ator específico, acredita-se que os atacantes falem chinês. O ataque destaca a crescente preocupação com a segurança da cadeia de suprimentos, que tem sido uma tendência crescente em 2023.

Um ataque à cadeia de suprimentos recentemente identificado comprometeu o software DAEMON Tools, segundo a Kaspersky. Os instaladores do software, distribuídos pelo site oficial e assinados digitalmente, foram adulterados desde 8 de abril de 2026. As versões afetadas variam de 12.5.0.2421 a 12.5.0.2434. Três componentes principais foram comprometidos: DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. Quando um desses arquivos é executado, um implante é ativado, enviando requisições HTTP para um servidor externo para receber comandos que baixam e executam cargas maliciosas. A Kaspersky observou milhares de tentativas de infecção em mais de 100 países, incluindo o Brasil, mas a entrega do malware avançado foi restrita a um pequeno número de alvos, sugerindo uma abordagem direcionada. O malware inclui um trojan de acesso remoto, QUIC RAT, e suporta múltiplos protocolos de comando e controle. A falta de atribuição a um ator específico e a sofisticação do ataque indicam um risco elevado, especialmente para organizações que utilizam o DAEMON Tools. A Kaspersky recomenda que as empresas isolem máquinas afetadas e realizem varreduras de segurança para evitar a propagação do malware.