Daemon Tools: Rivelata una Backdoor Nascosta nell’Installer del Popolare Software

Recentemente, i ricercatori di Kaspersky hanno fatto luce su una grave vulnerabilità nel software Daemon Tools, ampiamente utilizzato per montare immagini ISO tramite unità ottiche virtuali. Questa scoperta ha rivelato la presenza di una backdoor insidiosa nell’installer del programma, collegabile a un attacco alla catena di fornitura che ha compromesso i server di distribuzione dell’applicazione. In seguito a queste rivelazioni, lo sviluppatore AVB Disc Soft ha prontamente rimosso le versioni infette e ha lanciato patch correttive per garantire la sicurezza degli utenti.

Un Rischio Continuo: L’Infezione Risale a Primi di Aprile

La scoperta della backdoor risale a maggio, quando gli esperti di Kaspersky hanno constatato la presenza di malware nelle versioni dell’applicazione comprese tra 12.5.0.2421 e 12.5.0.2434, scaricabili dal sito ufficiale. L’infezione era già in atto dal 8 aprile, per cui si stima che almeno per un mese gli utenti siano stati vulnerabili. Il codice analizzato ha portato i ricercatori a sospettare dell’operato di gruppi di cybercriminali cinesi, evidenziando la serietà della minaccia.

Sono stati identificati tre eseguibili compromessi: DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. Questi file, presenti nella directory di installazione e firmati con un certificato autentico, si attivano all’avvio del computer, aprendo così la porta all’accesso remoto da parte di malintenzionati. Una volta attivata, la backdoor avvia comunicazioni con un server remoto, scaricando ulteriori payload dannosi.

Il Maligno Scopo della Backdoor

L’obiettivo principale della backdoor è quello di raccogliere informazioni sensibili dal computer infetto. Tra le informazioni estratte ci sono l’indirizzo MAC, il nome host, il dominio DNS, ma anche dettagli riguardanti il software installato e i processi attualmente attivi. Ciò permette ai criminali informatici di identificare potenziali bersagli di valore. Dopo questo primo passo, una seconda backdoor può essere installata, in grado di ricevere comandi e file da un server remoto distante.

Tra le varianti più sofisticate di questi malware si segnala il QUIC RAT, che ha infettato esclusivamente il computer di una scuola russa. Scritto in C++, questo malware è capace di iniettare nuovi payload all’interno di processi legittimi, come Notepad e Console Windows Host, utilizzando diversi protocolli per le comunicazioni con il server malintenzionato. Le indagini su questa minaccia sono ancora in corso, ma già si delineano le implicazioni di un possibile cyberspionaggio internazionale.

Un Rischio Anche per gli Utenti Italiani

A livello globale, i computer infetti si trovano in oltre 100 paesi, tra cui Russia, Brasile, Turchia, Spagna, Germania, Francia e Italia. Questo allarma particolarmente considerando che molte delle vittime appartengono a settori aziendali e organizzazioni, suggerendo un tentativo orchestrato di intrusione e spionaggio. Per gli utenti e le aziende italiane, è fondamentale prestare attenzione: la sicurezza informatica non è mai stata così cruciale.

È imperativo che tutti gli utenti di Daemon Tools verifichino la versione installata del software e, nel caso si trovino in possesso di una delle versioni vulnerabili, procedano immediatamente alla disinstallazione. La versione sicura da scaricare è la 12.6.0.2445, la quale è stata purgata da ogni componente malevolo. La sicurezza dei propri dati è senza dubbio una priorità e non può essere sottovalutata in un contesto così complesso e insidioso.