Attacco alla catena di approvvigionamento tramite DAEMON Tools

I nostri esperti hanno scoperto un attacco alla catena di approvvigionamento su larga scala tramite DAEMON Tools, un software per l’emulazione di unità ottiche. Gli aggressori sono riusciti a inserire codice dannoso negli installer del software e tutti i file eseguibili infettati da trojan sono firmati con una firma digitale valida di AVB Disc Soft, lo sviluppatore di DAEMON Tools. La versione dannosa del programma è in circolazione dall’8 aprile 2026. Al momento della stesura di questo articolo, l’attacco è ancora in corso. I ricercatori di Kaspersky ritengono che si tratti di un attacco mirato.

Quali sono i rischi legati all’installazione della versione dannosa di DAEMON Tools?

Dopo l’installazione del software trojanizzato sul computer della vittima, ogni volta che il sistema si avvia viene lanciato un file dannoso che invia una richiesta a un server di comando e controllo. In risposta, il server può inviare un comando per scaricare ed eseguire ulteriori payload dannosi.

In primo luogo, gli aggressori distribuiscono un raccoglitore di informazioni che raccoglie l’indirizzo MAC, il nome host, il nome di dominio DNS, gli elenchi dei processi in esecuzione e del software installato, nonché le impostazioni della lingua. Il malware invia quindi queste informazioni al server di comando e controllo.

In alcuni casi, in risposta alle informazioni raccolte, il server di comando invia una backdoor minimalista al computer della vittima. È in grado di scaricare ulteriori payload dannosi, eseguire comandi shell ed eseguire moduli di shellcode in memoria.

La backdoor può essere utilizzata per distribuire un impianto più sofisticato denominato QUIC RAT. Supporta diversi protocolli di comunicazione con il server di comando e controllo ed è in grado di iniettare payload dannosi nei processi notepad.exe e conhost.exe.

Informazioni tecniche più dettagliate, insieme agli indicatori di compromissione, sono disponibili nell’articolo degli esperti sul blog Securelist.

Chi è il bersaglio?

Dall’inizio di aprile sono stati rilevati diverse migliaia di tentativi di installare ulteriori payload dannosi tramite il software DAEMON Tools infetto. La maggior parte dei dispositivi infetti apparteneva a utenti privati, ma circa il 10% dei tentativi di installazione è stato rilevato su sistemi in esecuzione presso organizzazioni. Dal punto di vista geografico, le vittime erano distribuite in circa un centinaio di paesi e territori diversi. La maggior parte delle vittime si trovava in Russia, Brasile, Turchia, Spagna, Germania, Francia, Italia e Cina.

Nella maggior parte dei casi, l’attacco si è limitato all’installazione di un raccoglitore di informazioni. La backdoor ha infettato solo una dozzina di macchine in organizzazioni governative, scientifiche e manifatturiere, nonché in attività commerciali al dettaglio in Russia, Bielorussia e Thailandia.

Cosa è stato infettato esattamente

Il codice dannoso è stato rilevato nelle versioni di DAEMON Tools comprese tra la 12.5.0.2421 e la 12.5.0.2434. Gli autori dell’attacco hanno compromesso i file DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe, installati nella directory principale di DAEMON Tools.

Come proteggersi?

Se il software DAEMON Tools è in uso sul vostro computer (o altrove nella vostra organizzazione), i nostri esperti raccomandano di controllare accuratamente i computer su cui è installato per individuare eventuali attività insolite a partire dall’8 aprile.

Inoltre, consigliamo di utilizzare soluzioni di sicurezza affidabili su tutti i computer domestici e aziendali utilizzati per accedere a Internet. Le nostre soluzioni proteggono con successo gli utenti da tutti i malware utilizzati nell’attacco alla catena di approvvigionamento tramite DAEMON Tools.