Attacco alla Supply Chain di DAEMON Tools: I Installer Compromessi Svelano Malware Un recente attacco alla supply chain ha compromesso i pacchetti di installazione di DAEMON Tools, una popolare applicazione per la gestione delle immagini disco. Secondo un rapporto di…
Attacco alla Supply Chain di DAEMON Tools: I Installer Compromessi Svelano Malware
Un recente attacco alla supply chain ha compromesso i pacchetti di installazione di DAEMON Tools, una popolare applicazione per la gestione delle immagini disco. Secondo un rapporto di Kaspersky, questo attacco ha coinvolto versioni legittime del software che venivano distribuite tramite il sito ufficiale e certificate digitalmente dai suoi sviluppatori. L’incidente, scoperto dai ricercatori Igor Kuznetsov e colleghi, è iniziato l’8 aprile 2026 e ha già colpito milioni di utenti in tutto il mondo.
I Componenti Compromessi e il Funzionamento del Malware
L’attacco ha interessato tre file specifici del software: DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. Quando uno di questi componenti viene eseguito, un codice maligno si attiva e invia una richiesta HTTP a un server esterno, chiamato “env-check.daemontools[.]cc”. Registrato il 27 marzo 2026, questo dominio è all’origine di ulteriori istruzioni malevole che il malware esegue sul computer compromesso.
Una volta attivato, il malware è in grado di scaricare e lanciare vari payload eseguibili, tra cui envchk.exe, che raccoglie informazioni sensibili sul sistema, e altri file come cdg.exe, un loader responsabile dell’attivazione di una backdoor. Questi strumenti malevoli permettono agli attaccanti di eseguire comandi sul dispositivo infetto e di comunicare con server remoti per ricevere ulteriori istruzioni.
Il Raggio d’Azione e il Target
Kaspersky ha osservato migliaia di tentativi d’infezione che coinvolgono DAEMON Tools, impattando persone e aziende in oltre 100 paesi, tra cui l’Italia. Tuttavia, il malware non ha colpito indiscriminatamente: solo una dozzina di host ha ricevuto il malware finale, suggerendo un intento mirato. I sistemi infetti appartengono a vari settori, tra cui il commercio, la ricerca e il governo, principalmente in paesi come Russia, Bielorussia e Thailandia. Tra i payloads consegnati, è stata riscontrata una trojan chiamata QUIC RAT, utilizzata in un attacco contro un’istituzione educativa russa.
Secondo Kaspersky, la modalità di distribuzione del malware dimostra che gli attaccanti mirano a colpire un numero ristretto di macchine, ipotizzando che le loro motivazioni potrebbero variare dal cyber-spionaggio alla criminalità informatica mirata.
Implicazioni e Raccomandazioni
Questo recente attacco si aggiunge a una lista crescente di compromissioni della supply chain nel 2026, che ha già visto incidenti significativi riguardanti software conosciuti come eScan e Notepad++. Kaspersky ha evidenziato che tali attacchi superano le tradizionali difese di sicurezza, poiché gli utenti tendono a fidarsi dei software firmati e scaricati da fonti ufficiali. L’attacco a DAEMON Tools è rimasto in gran parte inosservato per un mese, il che suggerisce che gli attaccanti possiedono competenze avanzate nel campo della sicurezza informatica.
Per gli utenti e le aziende italiane, è fondamentale isolare i sistemi su cui è installato DAEMON Tools e condurre controlli di sicurezza per evitare la propagazione dell’attività malevola all’interno delle reti aziendali.
In Conclusione
La sicurezza informatica sta diventando sempre più complessa, in particolare a causa della crescente sofisticazione degli attacchi alla supply chain. È essenziale che le aziende, incluse quelle italiane, adottino misure proattive per tutelarsi da queste minacce, effettuando controlli regolari e prestando attenzione ai software utilizzati. La consapevolezza collettiva degli utenti è il primo passo nella lotta contro le insidie del malware moderno.
