Daemon Tools, una dintre cele mai populare aplicații pentru montarea imaginilor de disc pe platforma Windows, a fost compromisă în urma unui atac cibernetic de tip supply-chain. Potrivit specialiștilor în securitate, malware-ul a fost distribuit utilizatorilor prin instalatoare oficiale, semnate digital, care păreau a fi autentice. Incidentul a fost descoperit după ce s-au constatat breșe în versiunile ultime ale programului, afectând utilizatori din peste 100 de țări începând cu data de 8 aprilie 2026.
Ce versiuni DAEMON Tools au fost afectate
Potrivit cercetărilor, versiunile vizate de atac sunt cele cu numerele între 12.5.0.2421 și 12.5.0.2434. Componentele compromise includ fișierele DTHelper.exe, DiscSoftBusServiceLite.exe și DTShellHlp.exe. În aceste versiuni, codul malițios fusese integrat în fișiere semnate cu un certificat digital valid, al dezvoltatorului, ceea ce le-a făcut să apară legitime pentru utilizatori și pentru sistemele de protecție.
După instalarea aplicației infectate, malware-ul se activa automat la pornirea sistemului. Primele activități vizau colectarea de informații despre dispozitiv, precum numele computerului, adresa MAC, procesele și aplicațiile instalate, precum și setările regionale. Aceste date erau trimise către infrastructura atacatorilor, posibil pentru a identifica eventuale ținte de valoare.
Deși atacul a generat mii de infectări, doar un număr restrâns de sisteme au primit ulterior componente malware suplimentare. Acest fapt sugerează faptul că, pe lângă răspândirea masivă, atacatorii urmăreau și identificarea anumitor ținte de interes.
Ținte selectate, dar de impact
Dintre sistemele care au primit componente de etapă secundară s-au numărat instituții și organizații din domenii precum retail, cercetare, sector guvernamental și industrie, în țări precum Rusia, Belarus și Thailanda. În aceste cazuri, s-a instalat un backdoor, o „ușă din spate” prin care atacatorii puteau executa comenzi, descărca fișiere și rula cod direct în memorie.
Un incident semnalat de specialiști a vizat o instituție educațională din Rusia, unde a fost identificat malware-ul QUIC RAT, cunoscut pentru capacitatea de a comunica prin multiple protocoale și pentru injectarea de cod malițios în procese legitime. Astfel de tehnici sunt frecvent utilizate pentru a ascunde activitatea rău intenționată și a face mai dificilă detectarea.
Deși nu s-a atribuit oficial atacul unui grup specific, anumite indicii lingvistice sugerează posibilitatea implicării unor atacatori vorbitori de limbă chineză. Totuși, aceste indicii trebuie interpretate cu prudență, întrucât pot fi false sau manipulate pentru a induce în eroare anchetele.
Pericolul unui malware distribuit dintr-ună sursă oficială
Atacurile de tip supply-chain reprezintă o provocare majoră pentru utilizatorii obișnuiți, deoarece exploatează încrederea acordată software-ului legitim. Utilizatorii cred că descărcarea fișierelor din surse oficiale garantează securitatea, însă acest caz demonstrează că fișierele semnate digital pot fi compromise.
Distribuirea malware-ului prin aplicatii aparent autorizate și semnate digital face ca atacurile să fie extrem de subtile, dificile de detectat și de prevenit, chiar și pentru soluțiile de securitate moderne. Acest incident subliniază riscul ridicat asociat cu actualizările și descărcările din surse oficiale, mai ales în cazul aplicațiilor foarte utilizate, precum DAEMON Tools.