Hackers han comprometido los instaladores de DAEMON Tools, una utilidad de Windows ampliamente utilizada para montar imágenes de disco, con el fin de desplegar una puerta trasera (backdoor) en miles de sistemas. El ataque, que ha estado activo desde al menos el 8 de abril, permitió que el código malicioso llegara a usuarios que descargaron el producto directamente desde el sitio web oficial, según informa BleepingComputer.
Kaspersky identificó las versiones específicas comprometidas entre la 12.5.0.2421 y la 12.5.0.2434 de DAEMON Tools. La brecha afecta a binarios específicos, entre ellos DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe.
Aunque la infección inicial se propagó a miles de dispositivos en más de 100 países, los atacantes parecen estar llevando a cabo una operación selectiva. BleepingComputer informó que las cargas útiles (payloads) de segunda etapa solo se desplegaron en una docena de máquinas, lo que sugiere que los hackers están filtrando sus objetivos para encontrar víctimas de alto valor.
Cargas útiles dirigidas y robo de datos
La primera etapa del malware funciona como un básico extractor de información (infostealer). Una vez que se ejecutan los instaladores con firma digital, la carga útil recopila datos a nivel de sistema, incluyendo nombres de host, direcciones MAC, procesos en ejecución, software instalado y configuraciones regionales, para luego enviar esta información a los atacantes con el fin de perfilar a las víctimas.
Tras analizar los datos robados, los atacantes pueden optar por desplegar una carga útil de segunda etapa. Esta segunda fase consiste en un backdoor ligero que proporciona acceso persistente al sistema infectado, permitiendo a los atacantes enviar comandos a la máquina e instruirla para que descargue software malicioso adicional.
Según BleepingComputer, las víctimas identificadas que recibieron estas cargas útiles más avanzadas incluyen organizaciones de los sectores minorista, científico, gubernamental y de fabricación. El enfoque geográfico de estos ataques dirigidos incluye a Rusia, Bielorrusia y Tailandia.
El informe de Kaspersky, citado por BleepingComputer, indica que el ataque sigue en curso. El software, que fue un elemento esencial para gamers y usuarios avanzados en la década de los 2000, se utiliza hoy principalmente en entornos que requieren la gestión de unidades virtuales.
