O DAEMON Tools Lite, um popular software gratuito de emulação de discos virtuais com milhões de usuários em todo o mundo, foi alvo de um ataque à cadeia de suprimentos complexo. A descoberta, inicialmente feita pela Kaspersky e confirmada pela desenvolvedora Disc Soft Limited em 5 de maio, revelou que hackers conseguiram infiltrar os servidores da empresa, substituindo os instaladores oficiais do programa por versões adulteradas. Esta ação maliciosa resultou na infecção de dispositivos em mais de 100 países, com o período de distribuição do software comprometido estendendo-se de 8 de abril até o dia da descoberta.
A Infiltração na Cadeia de Suprimentos
Diferente de ataques diretos ao usuário final, a estratégia empregada neste incidente foi a de comprometer o próprio canal de distribuição do software. Ao manipular o site oficial do DAEMON Tools Lite, os invasores garantiram que usuários que buscavam instalar uma versão legítima do programa acabassem executando um arquivo malicioso. Uma das características que tornou a detecção particularmente desafiadora foi o fato de os instaladores comprometidos estarem digitalmente assinados. Isso lhes conferia uma aparente legitimidade, permitindo que passassem pelos sistemas de verificação de segurança do Windows como se fossem arquivos confiáveis.
O Mecanismo da Infecção e o Perfil das Vítimas
Ao ser executado, o instalador adulterado ativava um código malicioso em segundo plano sem o conhecimento do usuário. Este código inicial tinha como objetivo coletar informações cruciais do sistema, como nome do computador, endereço MAC, lista de processos em execução, softwares instalados e o idioma configurado, enviando esses dados para servidores controlados pelos atacantes. Essa primeira fase era essencial para perfilar as vítimas. Com base nas informações recebidas, os invasores decidiam quais dispositivos receberiam um segundo payload: uma backdoor leve, projetada para executar comandos remotamente, baixar arquivos e rodar código diretamente na memória do sistema. Em pelo menos um dos casos investigados, a Kaspersky identificou a instalação de um malware específico conhecido como QUIC RAT, capaz de injetar código malicioso em processos legítimos do sistema e comunicar-se por múltiplos protocolos de rede.
Extensão Global da Ameaça e Impacto Diferenciado
As vítimas deste ataque foram identificadas em mais de 100 países, demonstrando a ampla abrangência da campanha. Entre os alvos, a Kaspersky apontou organizações dos setores de varejo, ciência, governo e indústria, localizadas em países como Rússia, Bielorrússia e Tailândia. Além disso, usuários domésticos em nações como Brasil, Turquia, Espanha, Alemanha, França, Itália e China também foram afetados pela distribuição dos instaladores maliciosos. É importante ressaltar que a Disc Soft confirmou que apenas a versão gratuita do DAEMON Tools Lite foi comprometida, especificamente as versões numeradas entre 12.5.0.2421 e 12.5.0.2434. As versões pagas do programa, bem como os produtos DAEMON Tools Pro e DAEMON Tools Ultra, permaneceram seguras e não foram afetadas pela brecha de segurança.
Ação Rápida e Orientações Cruciais para Usuários
A Disc Soft agiu com celeridade após ser notificada sobre o problema por volta das 7h GMT do dia 5 de maio. Em menos de 12 horas, a empresa concluiu as medidas de resposta, que incluíram o isolamento dos sistemas comprometidos, a remoção imediata dos instaladores adulterados da distribuição, uma auditoria rigorosa do pipeline de build e o lançamento de uma versão limpa do software, a 12.6.0.2445. A Kaspersky, por sua vez, confirmou que esta nova versão está livre do comportamento malicioso anteriormente identificado. A investigação para atribuir o ataque a um grupo específico e para identificar o vetor de entrada usado pelos invasores ainda está em andamento. Para os usuários que baixaram o DAEMON Tools Lite versão 12.5.1 (gratuita) entre 8 de abril e 5 de maio, é fundamental desinstalar o aplicativo imediatamente, executar uma varredura completa com um antivírus confiável e, em seguida, baixar a versão 12.6 diretamente do site oficial do DAEMON Tools para garantir a segurança de seus sistemas.
Este incidente sublinha a crescente sofisticação dos ataques à cadeia de suprimentos e a importância da vigilância contínua, tanto por parte dos desenvolvedores de software quanto dos usuários. A rápida resposta da Disc Soft e a confirmação de uma versão limpa oferecem um caminho para a recuperação, mas a investigação em andamento é crucial para desvendar todos os detalhes e prevenir futuras incursões.
Fonte: https://www.tecmundo.com.br
