Nossos especialistas descobriram um ataque \u00e0 cadeia de suprimentos em grande escala via DAEMON Tools \u2013 software para emula\u00e7\u00e3o de unidades \u00f3pticas. Os invasores conseguiram injetar c\u00f3digo malicioso nos instaladores do software, e todos os arquivos execut\u00e1veis trojanizados est\u00e3o assinados com uma assinatura digital v\u00e1lida da AVB Disc Soft \u2013 a desenvolvedora do DAEMON Tools. A vers\u00e3o maliciosa do programa est\u00e1 em circula\u00e7\u00e3o desde 8 de abril de 2026. No momento da reda\u00e7\u00e3o deste artigo, o ataque ainda est\u00e1 em andamento. Os pesquisadores da Kaspersky acreditam que se trata de um ataque direcionado.<\/p>\n
Depois que o software infectado com trojan \u00e9 instalado no computador da v\u00edtima, um arquivo malicioso \u00e9 executado toda vez que o sistema \u00e9 inicializado \u2013 enviando uma solicita\u00e7\u00e3o a um servidor de comando e controle. Em resposta, o servidor pode enviar um comando para baixar e executar cargas maliciosas adicionais.<\/p>\n
Primeiro, os invasores implantam um coletor de informa\u00e7\u00f5es que re\u00fane o endere\u00e7o MAC, o nome do host, o nome de dom\u00ednio DNS, listas de processos em execu\u00e7\u00e3o e de softwares instalados, al\u00e9m das configura\u00e7\u00f5es de idioma. O malware ent\u00e3o envia essas informa\u00e7\u00f5es para o servidor de comando e controle.<\/p>\n
Em alguns casos, em resposta \u00e0s informa\u00e7\u00f5es coletadas, o servidor de comando envia um backdoor minimalista para a m\u00e1quina da v\u00edtima. Ele \u00e9 capaz de baixar cargas maliciosas adicionais, executar comandos de shell e rodar m\u00f3dulos de shellcode na mem\u00f3ria.<\/p>\n
O backdoor pode ser usado para implantar um implantado mais sofisticado chamado QUIC RAT. Ele suporta v\u00e1rios protocolos de comunica\u00e7\u00e3o com o servidor de comando e controle e \u00e9 capaz de injetar cargas maliciosas nos processos notepad.exe <\/em>e conhost.exe<\/em>.<\/p>\n Informa\u00e7\u00f5es t\u00e9cnicas mais detalhadas, juntamente com indicadores de comprometimento, podem ser encontradas no artigo dos especialistas no blog Securelist<\/a>.<\/p>\n Desde o in\u00edcio de abril, foram detectadas v\u00e1rias milhares de tentativas de instalar cargas maliciosas adicionais por meio do software DAEMON Tools infectado. A maioria dos dispositivos infectados pertencia a usu\u00e1rios dom\u00e9sticos, mas aproximadamente 10% das tentativas de instala\u00e7\u00e3o foram detectadas em sistemas em execu\u00e7\u00e3o em organiza\u00e7\u00f5es. Geograficamente, as v\u00edtimas estavam espalhadas por cerca de cem pa\u00edses e territ\u00f3rios diferentes. A maioria das v\u00edtimas estava localizada na R\u00fassia, Brasil, Turquia, Espanha, Alemanha, Fran\u00e7a, It\u00e1lia e China.<\/p>\n Na maioria das vezes, o ataque se limitava \u00e0 instala\u00e7\u00e3o de um coletor de informa\u00e7\u00f5es. O backdoor infectou apenas uma d\u00fazia de m\u00e1quinas em organiza\u00e7\u00f5es governamentais, cient\u00edficas e de manufatura, bem como em empresas de varejo na R\u00fassia, Bielorr\u00fassia e Tail\u00e2ndia.<\/p>\n O c\u00f3digo malicioso foi detectado nas vers\u00f5es do DAEMON Tools que v\u00e3o da 12.5.0.2421 \u00e0 12.5.0.2434. Os invasores comprometeram os arquivos DTHelper.exe<\/em>, DiscSoftBusServiceLite.exe <\/em>e DTShellHlp.exe<\/em>, que est\u00e3o instalados no diret\u00f3rio principal do DAEMON Tools.<\/p>\n Se o software DAEMON Tools for utilizado no seu computador (ou em qualquer outro local da sua organiza\u00e7\u00e3o), nossos especialistas recomendam verificar minuciosamente os computadores nos quais ele est\u00e1 instalado em busca de qualquer atividade incomum a partir de 8 de abril.<\/p>\n Al\u00e9m disso, recomendamos o uso de solu\u00e7\u00f5es de seguran\u00e7a confi\u00e1veis em todos os computadores dom\u00e9sticos<\/a> e\u00a0corporativos<\/a> usados para acessar a internet. Nossas solu\u00e7\u00f5es protegem com sucesso os usu\u00e1rios contra todos os malwares usados no ataque \u00e0 cadeia de suprimentos via DAEMON Tools.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Um ataque direcionado \u00e0 cadeia de suprimentos por meio de um software popular para montagem de imagens de disco.<\/p>\n","protected":false},"author":2706,"featured_media":24957,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[3424,35,254],"class_list":{"0":"post-24956","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataque-a-cadeia-de-suprimentos","11":"tag-malware-2","12":"tag-rat"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/daemon-tools-supply-chain-attack\/24956\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/daemon-tools-supply-chain-attack\/30691\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/25743\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/13373\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/daemon-tools-supply-chain-attack\/30542\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/29178\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/daemon-tools-supply-chain-attack\/32085\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/daemon-tools-supply-chain-attack\/30639\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/daemon-tools-supply-chain-attack\/41798\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/daemon-tools-supply-chain-attack\/14496\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/55691\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/daemon-tools-supply-chain-attack\/23879\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/daemon-tools-supply-chain-attack\/33451\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/daemon-tools-supply-chain-attack\/30625\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/daemon-tools-supply-chain-attack\/36200\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/daemon-tools-supply-chain-attack\/36093\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ataque-a-cadeia-de-suprimentos\/","name":"ataque \u00e0 cadeia de suprimentos"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24956","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24956"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24956\/revisions"}],"predecessor-version":[{"id":24960,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24956\/revisions\/24960"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24957"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24956"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24956"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24956"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Quem est\u00e1 sendo alvo?<\/h2>\n
O que exatamente foi infectado<\/h2>\n
Como se proteger?<\/h2>\n