Instalador de DAEMON Tools, una popular aplicación de administración de imágenes de disco, Infecta troyanos e introduce puertas traseras en miles de sistemas quien descargó el producto del sitio web oficial, según la firma de ciberseguridad Kaspersky.

Todo indica que se trata de un ataque a la cadena de suministro Ha comprometido su instalador para distribuir cargas útiles maliciosas. El ataque ha infectado a miles de personas en más de 100 países. Sin embargo, la carga útil de la segunda etapa se implementó mínimamente en organizaciones minoristas, científicas, gubernamentales y de fabricación, lo que sugiere un ataque dirigido contra objetivos de alto valor.

DAEMON Tools, viejo conocido, ahora infectado

Si llevas un tiempo trabajando en informática, sin duda habrás utilizado esta aplicación, ya que hace décadas se utilizaba prácticamente como estándar para la gestión de imágenes de disco. Se trata de archivos en formatos ISO, IMG, UDF, BIN, NRG, etc. que contienen la estructura y el contenido completo de un disco, aunque también pueden servir para almacenar un disco duro o SSD completo. Este tipo de formatos fueron muy utilizados cuando los CD y DVD dominaban el mercado del almacenamiento externo, aunque todavía se utilizan, por ejemplo, para distribuir sistemas operativos, y seguramente existen otras aplicaciones más eficientes. En Windows recomendamos WinCDEmu, que es gratuito y de código abierto.

Kaspersky informa que estas herramientas DAEMON se encuentran en estado crítico. El ataque se remonta al 8 de abril. y continúa hasta el día de hoy. El software infectado por el troyano incluye versiones de DAEMON Tools desde 12.5.0.2421 a 12.5.0.2434, específicamente los archivos binarios DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe.

Su funcionamiento es típico. Una vez que un usuario desprevenido descarga y ejecuta un instalador troyano firmado digitalmente, activa el código malicioso incrustado en el binario infectado. El código malicioso continúa instalándose y activa la puerta trasera al iniciar el sistema. El servidor puede responder con comandos que indican al sistema que descargue y ejecute cargas útiles adicionales.

El malware de primera etapa es un ladrón de información básica que recopila datos del sistema, como el nombre de host, la dirección MAC, los procesos en ejecución, el software instalado y la configuración regional del sistema, y ​​los envía al atacante para que analice a la víctima. Dependiendo de los resultados, algunos sistemas avanzarán a la Fase 2, incluidos Una puerta trasera ligera capaz de ejecutar comandosdescargue el archivo y ejecute el código directamente en la memoria.

Kaspersky describió el ataque a la cadena de suministro de DAEMON Tools como una vulnerabilidad lo suficientemente sofisticada como para evadir la detección durante casi un mes. Aún no se ha explicado cómo los ciberdelincuentes pueden infectar la cadena de suministro y Infectar instaladores oficiales antes de su distribución.. Desde principios de este año, se han detectado ataques a la cadena de suministro de software casi todos los meses: eScan en enero, Notepad++ en febrero, CPU-Z en abril y ahora DAEMON Tools.

Obviamente, debes eliminar DAEMON Tools de tu computadora inmediatamente y usar una aplicación alternativa.