Kaspersky suspeita que hackers chineses plantaram um backdoor no Daemon Tools em ataque ‘generalizado’

Pesquisadores de segurança da Kaspersky afirmam ter identificado um backdoor malicioso implantado no popular e antigo software de imagem de disco do Windows, Daemon Tools.

A empresa russa de segurança cibernética disse na terça-feira que os dados recolhidos de computadores em todo o mundo que executam o software antivírus Kaspersky mostram que um ataque “generalizado” está em curso, visando milhares de computadores Windows que executam o Daemon Tools.

Os hackers, que a Kaspersky vinculou a um grupo de língua chinesa com base em uma análise do malware, usaram o backdoor do Daemon Tools para plantar malware adicional em uma dúzia de computadores nos setores de varejo, científico e industrial, bem como em sistemas governamentais. A Kaspersky disse que a invasão desses computadores específicos implicava um esforço “direcionado”.

A empresa disse que as organizações visadas estão localizadas na Rússia, Bielorrússia e Tailândia.

A Kaspersky disse que o backdoor foi detectado pela primeira vez em 8 de abril.

A Kaspersky disse que entrou em contato com a Disc Soft, empresa que mantém o Daemon Tools, mas não informou se o desenvolvedor respondeu ou tomou medidas. A Kaspersky disse que o ataque à cadeia de suprimentos “ainda está ativo”, sugerindo que os hackers ainda podem plantar malware em milhares de computadores que executam o software de imagem de disco.

Este é o mais recente de uma série de ataques chamados de “cadeia de suprimentos” que têm como alvo desenvolvedores de software popular nos últimos meses. Os hackers estão cada vez mais atacando as contas de desenvolvedores que trabalham em códigos e softwares amplamente utilizados e abusando desse acesso para enviar códigos maliciosos a qualquer pessoa que dependa do software. Essa abordagem permite que os hackers invadam um grande número de computadores ao mesmo tempo quando seu código malicioso é entregue como uma atualização de software.

No início deste ano, hackers associados ao governo chinês sequestrou o popular software de edição de texto Notepad++ para entregar malware a diversas organizações com interesses no Leste Asiático. Pesquisadores de segurança também alertaram sobre outro ataque no mês passado direcionado a usuários que visitou o site da CPUIDque torna as populares ferramentas HWMonitor e CPU-Z.

O TechCrunch baixou o instalador do Windows no site da Daemon Tools e o arquivo parecia conter a porta dos fundos quando verificamos com o serviço online de verificação de malware VirusTotal.

Não se sabe se a versão macOS do Daemon Tools foi comprometida ou se outros aplicativos feitos pela Disc Soft foram afetados.

Quando contatado para comentar, um representante da Disc Soft disse estar “ciente do relatório e atualmente investigando a situação”.

“Nossa equipe está tratando este assunto com a mais alta prioridade e trabalhando ativamente para avaliar e resolver o problema. Nesta fase, não estamos em condições de confirmar detalhes específicos mencionados no relatório. No entanto, estamos tomando todas as medidas necessárias para remediar quaisquer riscos potenciais e garantir a segurança de nossos usuários”, disse o representante.

Você sabe mais sobre o ataque cibernético direcionado aos usuários do Daemon Tools? Você recebeu um alerta de antivírus informando que foi afetado? Queremos ouvir de você. Para entrar em contato com este repórter com segurança, entre em contato através do nome de usuário do Signal zackwhittaker.1337.