I nostri esperti hanno scoperto un attacco alla catena di approvvigionamento su larga scala tramite DAEMON Tools, un software per l\u2019emulazione di unit\u00e0 ottiche. Gli aggressori sono riusciti a inserire codice dannoso negli installer del software e tutti i file eseguibili infettati da trojan sono firmati con una firma digitale valida di AVB Disc Soft, lo sviluppatore di DAEMON Tools. La versione dannosa del programma \u00e8 in circolazione dall\u20198 aprile 2026. Al momento della stesura di questo articolo, l\u2019attacco \u00e8 ancora in corso. I ricercatori di Kaspersky ritengono che si tratti di un attacco mirato.<\/p>\n
Dopo l\u2019installazione del software trojanizzato sul computer della vittima, ogni volta che il sistema si avvia viene lanciato un file dannoso che invia una richiesta a un server di comando e controllo. In risposta, il server pu\u00f2 inviare un comando per scaricare ed eseguire ulteriori payload dannosi.<\/p>\n
In primo luogo, gli aggressori distribuiscono un raccoglitore di informazioni che raccoglie l\u2019indirizzo MAC, il nome host, il nome di dominio DNS, gli elenchi dei processi in esecuzione e del software installato, nonch\u00e9 le impostazioni della lingua. Il malware invia quindi queste informazioni al server di comando e controllo.<\/p>\n
In alcuni casi, in risposta alle informazioni raccolte, il server di comando invia una backdoor minimalista al computer della vittima. \u00c8 in grado di scaricare ulteriori payload dannosi, eseguire comandi shell ed eseguire moduli di shellcode in memoria.<\/p>\n
La backdoor pu\u00f2 essere utilizzata per distribuire un impianto pi\u00f9 sofisticato denominato QUIC RAT. Supporta diversi protocolli di comunicazione con il server di comando e controllo ed \u00e8 in grado di iniettare payload dannosi nei processi notepad.exe <\/em>e conhost.exe<\/em>.<\/p>\n Informazioni tecniche pi\u00f9 dettagliate, insieme agli indicatori di compromissione, sono disponibili nell\u2019articolo degli esperti sul blog Securelist<\/a>.<\/p>\n Dall\u2019inizio di aprile sono stati rilevati diverse migliaia di tentativi di installare ulteriori payload dannosi tramite il software DAEMON Tools infetto. La maggior parte dei dispositivi infetti apparteneva a utenti privati, ma circa il 10% dei tentativi di installazione \u00e8 stato rilevato su sistemi in esecuzione presso organizzazioni. Dal punto di vista geografico, le vittime erano distribuite in circa un centinaio di paesi e territori diversi. La maggior parte delle vittime si trovava in Russia, Brasile, Turchia, Spagna, Germania, Francia, Italia e Cina.<\/p>\n Nella maggior parte dei casi, l\u2019attacco si \u00e8 limitato all\u2019installazione di un raccoglitore di informazioni. La backdoor ha infettato solo una dozzina di macchine in organizzazioni governative, scientifiche e manifatturiere, nonch\u00e9 in attivit\u00e0 commerciali al dettaglio in Russia, Bielorussia e Thailandia.<\/p>\n Il codice dannoso \u00e8 stato rilevato nelle versioni di DAEMON Tools comprese tra la 12.5.0.2421 e la 12.5.0.2434. Gli autori dell\u2019attacco hanno compromesso i file DTHelper.exe<\/em>, DiscSoftBusServiceLite.exe <\/em>e DTShellHlp.exe<\/em>, installati nella directory principale di DAEMON Tools.<\/p>\n Se il software DAEMON Tools \u00e8 in uso sul vostro computer (o altrove nella vostra organizzazione), i nostri esperti raccomandano di controllare accuratamente i computer su cui \u00e8 installato per individuare eventuali attivit\u00e0 insolite a partire dall\u20198 aprile.<\/p>\n Inoltre, consigliamo di utilizzare soluzioni di sicurezza affidabili su tutti i computer domestici<\/a> e aziendali<\/a> utilizzati per accedere a Internet. Le nostre soluzioni proteggono con successo gli utenti da tutti i malware utilizzati nell\u2019attacco alla catena di approvvigionamento tramite DAEMON Tools.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Un attacco mirato alla catena di approvvigionamento tramite un popolare software per il montaggio di immagini disco.<\/p>\n","protected":false},"author":2706,"featured_media":30640,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[3723,22,1826],"class_list":{"0":"post-30639","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-attacco-alla-supply-chain","11":"tag-malware-2","12":"tag-rat"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/daemon-tools-supply-chain-attack\/30639\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/daemon-tools-supply-chain-attack\/30691\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/25743\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/13373\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/daemon-tools-supply-chain-attack\/30542\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/29178\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/daemon-tools-supply-chain-attack\/32085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/daemon-tools-supply-chain-attack\/41798\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/daemon-tools-supply-chain-attack\/14496\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/55691\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/daemon-tools-supply-chain-attack\/23879\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/daemon-tools-supply-chain-attack\/24956\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/daemon-tools-supply-chain-attack\/33451\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/daemon-tools-supply-chain-attack\/30625\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/daemon-tools-supply-chain-attack\/36200\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/daemon-tools-supply-chain-attack\/36093\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/attacco-alla-supply-chain\/","name":"attacco alla supply-chain"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30639","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30639"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30639\/revisions"}],"predecessor-version":[{"id":30642,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30639\/revisions\/30642"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30640"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30639"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30639"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30639"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Chi \u00e8 il bersaglio?<\/h2>\n
Cosa \u00e8 stato infettato esattamente<\/h2>\n
Come proteggersi?<\/h2>\n