Pesquisadores de segurança da Kaspersky afirmam ter identificado uma porta dos fundos maliciosa inserida no popular e consagrado software de criação de imagens de disco para Windows, o Daemon Tools.
A empresa russa de cibersegurança afirmou na terça-feira que dados coletados de computadores em todo o mundo que executam o software antivírus Kaspersky mostram que um ataque “generalizado” está em andamento, visando milhares de computadores Windows que utilizam o Daemon Tools.
Os hackers, que a Kaspersky associou a um grupo de língua chinesa com base em uma análise do malware, usaram a brecha de segurança do Daemon Tools para instalar malware adicional em uma dúzia de computadores nos setores de varejo, científico e industrial, bem como em sistemas governamentais. A Kaspersky afirmou que a invasão desses computadores específicos indica um esforço “direcionado”.
A empresa afirmou que as organizações visadas estão localizadas na Rússia, Bielorrússia e Tailândia.
A Kaspersky afirmou que a porta dos fundos foi detectada pela primeira vez em 8 de abril.
A Kaspersky afirmou ter entrado em contato com a Disc Soft, empresa responsável pela manutenção do Daemon Tools, mas não informou se a desenvolvedora respondeu ou tomou alguma providência. A Kaspersky disse que o ataque à cadeia de suprimentos “ainda está ativo”, sugerindo que os hackers ainda podem instalar malware em milhares de computadores que executam o software de criação de imagens de disco.
Este é o mais recente de uma série de ataques chamados de “ataques à cadeia de suprimentos” que têm como alvo desenvolvedores de softwares populares nos últimos meses. Os hackers estão cada vez mais visando as contas de desenvolvedores que trabalham em códigos e softwares amplamente utilizados, abusando desse acesso para distribuir códigos maliciosos a qualquer pessoa que dependa do software. Essa abordagem permite que os hackers invadam um grande número de computadores simultaneamente quando seu código malicioso é distribuído como uma atualização de software.
No início deste ano, hackers ligados ao governo chinês sequestraram o popular editor de texto Notepad++ para distribuir malware a diversas organizações com interesses no Leste Asiático. Pesquisadores de segurança também alertaram para outro ataque no mês passado, direcionado a usuários que visitaram o site da CPUID , empresa que desenvolve as populares ferramentas HWMonitor e CPU-Z.
O TechCrunch baixou o instalador do Windows do site da Daemon Tools e, ao verificarmos o arquivo com o serviço online de verificação de malware VirusTotal, constatamos que ele continha o backdoor .
Ao ser contatado para comentar o assunto, um representante da Disc Soft afirmou que a empresa está “ciente da denúncia e está investigando a situação”.
“Nossa equipe está tratando este assunto com a máxima prioridade e trabalhando ativamente para avaliar e solucionar o problema. Neste momento, não podemos confirmar detalhes específicos mencionados no relatório. No entanto, estamos tomando todas as medidas necessárias para remediar quaisquer riscos potenciais e garantir a segurança de nossos usuários”, disse o representante.
Você sabe mais sobre o ciberataque direcionado aos usuários do Daemon Tools? Você recebeu algum alerta de antivírus informando que foi afetado? Queremos saber sua opinião. Para entrar em contato com este repórter de forma segura, envie uma mensagem pelo Signal com o nome de usuário zackwhittaker.1337 .
