🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ataque à cadeia de suprimentos recentemente identificado direcionado ao software DAEMON Tools comprometeu seus instaladores para servir uma carga maliciosa, de acordo com as descobertas da Kaspersky.
“Esses instaladores são distribuídos a partir do site legítimo do DAEMON Tools e são assinados com certificados digitais pertencentes aos desenvolvedores do DAEMON Tools”, disseram os pesquisadores da Kaspersky, Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko e Anton Kargin.
Os instaladores foram trojanizados desde 8 de abril de 2026, com versões variando de 12.5.0.2421 a 12.5.0.2434 identificadas como comprometidas como parte do incidente. O ataque à cadeia de suprimentos está ativo no momento da escrita. AVB Disc Soft, desenvolvedora do software, foi notificada da violação.
Especificamente, três componentes diferentes do DAEMON Tools foram adulterados -
DTHelper.exe
DiscSoftBusServiceLite.exe
DTShellHlp.exe
Sempre que um desses binários é iniciado, o que normalmente acontece durante a inicialização do sistema, um implante é ativado no host comprometido. Ele foi projetado para enviar uma solicitação HTTP GET para um servidor externo (“env-check.daemontools[.]cc”) – um domínio registrado em 27 de março de 2026 – para receber um comando shell que é executado usando o processo “cmd.exe”.
O comando shell, por sua vez, é usado para baixar e executar uma série de cargas executáveis. Estes incluem -
envchk.exe, um executável .NET para coletar informações extensas do sistema.
cdg.exe e cdg.tmp, o primeiro dos quais é um carregador de shellcode responsável por descriptografar o conteúdo do segundo arquivo e lançar um backdoor minimalista que entra em contato com um servidor remoto para baixar arquivos, executar comandos de shell e executar cargas de shellcode na memória.
A empresa russa de cibersegurança afirmou ter observado vários milhares de tentativas de infecção envolvendo DAEMON Tools na sua telemetria, impactando indivíduos e organizações em mais de 100 países, como Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China. No entanto, o backdoor do próximo estágio foi entregue apenas a uma dúzia de hosts, indicando uma abordagem direcionada.
Os sistemas que receberam o malware subsequente foram sinalizados como pertencentes a organizações de varejo, científicas, governamentais e de manufatura na Rússia, Bielo-Rússia e Tailândia. Além do mais, uma das cargas entregues através do backdoor é um trojan de acesso remoto denominado QUIC RAT. O uso do implante C++ foi registrado contra uma única vítima: uma instituição educacional localizada na Rússia.
“Essa maneira de implantar o backdoor em um pequeno subconjunto de máquinas infectadas indica claramente que o invasor tinha intenções de conduzir a infecção de maneira direcionada”, disse Kaspersky. "No entanto, a sua intenção - seja ciberespionagem ou 'caça grossa' - atualmente não é clara."
O malware suporta uma variedade de protocolos de comando e controle (C2), incluindo HTTP, UDP, TCP, WSS, QUIC, DNS e HTTP/3, e vem equipado com recursos para injetar cargas úteis em processos legítimos "notepad.exe" e "conhost.exe".
A atividade não foi atribuída a nenhum ator ou grupo de ameaça conhecido. Mas as evidências apontam que se trata de obra de um adversário de língua chinesa, com base na análise dos artefatos observados.
O compromisso da DAEMON Tools é o mais recente de uma lista crescente de incidentes na cadeia de fornecimento de software no primeiro semestre de 2026 e segue-se a violações semelhantes de alto perfil envolvendo o eScan em janeiro, o Notepad++ em fevereiro e o CPUID em abril.
“Um compromisso desta natureza ignora as defesas de perímetro tradicionais porque os usuários confiam implicitamente no software assinado digitalmente baixado diretamente de um fornecedor oficial”, disse Kucherin, pesquisador sênior de segurança da Kaspersky GReAT, em comunicado compartilhado com o The Hacker News.
"Por causa disso, o ataque DAEMON Tools passou despercebido durante cerca de um mês. Este período de tempo, por sua vez, indica que o agente da ameaça por trás deste ataque é sofisticado e possui capacidades ofensivas avançadas. Dada a alta complexidade do comprometimento, é, portanto, de suma importância que as organizações isolem as máquinas que tenham o software Daemon Tools instalado, bem como conduzam varreduras de segurança para evitar a propagação de atividades maliciosas dentro das redes corporativas."
“Esses instaladores são distribuídos a partir do site legítimo do DAEMON Tools e são assinados com certificados digitais pertencentes aos desenvolvedores do DAEMON Tools”, disseram os pesquisadores da Kaspersky, Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko e Anton Kargin.
Os instaladores foram trojanizados desde 8 de abril de 2026, com versões variando de 12.5.0.2421 a 12.5.0.2434 identificadas como comprometidas como parte do incidente. O ataque à cadeia de suprimentos está ativo no momento da escrita. AVB Disc Soft, desenvolvedora do software, foi notificada da violação.
Especificamente, três componentes diferentes do DAEMON Tools foram adulterados -
DTHelper.exe
DiscSoftBusServiceLite.exe
DTShellHlp.exe
Sempre que um desses binários é iniciado, o que normalmente acontece durante a inicialização do sistema, um implante é ativado no host comprometido. Ele foi projetado para enviar uma solicitação HTTP GET para um servidor externo (“env-check.daemontools[.]cc”) – um domínio registrado em 27 de março de 2026 – para receber um comando shell que é executado usando o processo “cmd.exe”.
O comando shell, por sua vez, é usado para baixar e executar uma série de cargas executáveis. Estes incluem -
envchk.exe, um executável .NET para coletar informações extensas do sistema.
cdg.exe e cdg.tmp, o primeiro dos quais é um carregador de shellcode responsável por descriptografar o conteúdo do segundo arquivo e lançar um backdoor minimalista que entra em contato com um servidor remoto para baixar arquivos, executar comandos de shell e executar cargas de shellcode na memória.
A empresa russa de cibersegurança afirmou ter observado vários milhares de tentativas de infecção envolvendo DAEMON Tools na sua telemetria, impactando indivíduos e organizações em mais de 100 países, como Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China. No entanto, o backdoor do próximo estágio foi entregue apenas a uma dúzia de hosts, indicando uma abordagem direcionada.
Os sistemas que receberam o malware subsequente foram sinalizados como pertencentes a organizações de varejo, científicas, governamentais e de manufatura na Rússia, Bielo-Rússia e Tailândia. Além do mais, uma das cargas entregues através do backdoor é um trojan de acesso remoto denominado QUIC RAT. O uso do implante C++ foi registrado contra uma única vítima: uma instituição educacional localizada na Rússia.
“Essa maneira de implantar o backdoor em um pequeno subconjunto de máquinas infectadas indica claramente que o invasor tinha intenções de conduzir a infecção de maneira direcionada”, disse Kaspersky. "No entanto, a sua intenção - seja ciberespionagem ou 'caça grossa' - atualmente não é clara."
O malware suporta uma variedade de protocolos de comando e controle (C2), incluindo HTTP, UDP, TCP, WSS, QUIC, DNS e HTTP/3, e vem equipado com recursos para injetar cargas úteis em processos legítimos "notepad.exe" e "conhost.exe".
A atividade não foi atribuída a nenhum ator ou grupo de ameaça conhecido. Mas as evidências apontam que se trata de obra de um adversário de língua chinesa, com base na análise dos artefatos observados.
O compromisso da DAEMON Tools é o mais recente de uma lista crescente de incidentes na cadeia de fornecimento de software no primeiro semestre de 2026 e segue-se a violações semelhantes de alto perfil envolvendo o eScan em janeiro, o Notepad++ em fevereiro e o CPUID em abril.
“Um compromisso desta natureza ignora as defesas de perímetro tradicionais porque os usuários confiam implicitamente no software assinado digitalmente baixado diretamente de um fornecedor oficial”, disse Kucherin, pesquisador sênior de segurança da Kaspersky GReAT, em comunicado compartilhado com o The Hacker News.
"Por causa disso, o ataque DAEMON Tools passou despercebido durante cerca de um mês. Este período de tempo, por sua vez, indica que o agente da ameaça por trás deste ataque é sofisticado e possui capacidades ofensivas avançadas. Dada a alta complexidade do comprometimento, é, portanto, de suma importância que as organizações isolem as máquinas que tenham o software Daemon Tools instalado, bem como conduzam varreduras de segurança para evitar a propagação de atividades maliciosas dentro das redes corporativas."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ataque #à #cadeia #de #suprimentos #da #daemon #tools #compromete #instaladores #oficiais #com #malware
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário