Um novo alerta de segurança está preocupando usuários de Windows e profissionais de TI: um malware no DAEMON Tools foi identificado após um ataque à cadeia de suprimentos comprometer instaladores oficiais do software. O caso é especialmente crítico porque envolve arquivos legítimos, assinados digitalmente e distribuídos por canais confiáveis.
A descoberta contou com a participação da Kaspersky, que detectou atividades maliciosas ocultas em versões recentes do programa. As evidências indicam que o ataque está ativo desde abril de 2026, atingindo tanto usuários comuns quanto ambientes corporativos.
Ataques desse tipo são considerados altamente perigosos porque exploram a confiança do usuário. Em vez de invadir diretamente o sistema, os criminosos comprometem o próprio software antes da instalação, transformando um aplicativo confiável em vetor de infecção.
Como o ataque ao DAEMON Tools aconteceu
O ataque ao DAEMON Tools utilizou uma técnica sofisticada: a inserção de código malicioso em instaladores oficiais assinados com certificados digitais válidos. Isso permitiu que o software fosse executado normalmente, sem alertas do sistema operacional ou de soluções de segurança tradicionais.
Na prática, o usuário baixava o instalador acreditando ser legítimo, mas já estava executando componentes adulterados. Esse tipo de abordagem dificulta a detecção e aumenta significativamente a taxa de sucesso da campanha.
A suspeita é de que os atacantes tenham comprometido alguma etapa interna da cadeia de distribuição do software, como servidores de build ou atualização, o que indica um nível elevado de sofisticação e acesso.
Versões afetadas e arquivos adulterados
As investigações apontam que as versões abaixo foram comprometidas:
12.5.0.2421 a 12.5.0.2434
Os seguintes executáveis foram identificados como adulterados:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
Embora sejam arquivos legítimos do programa, eles foram modificados para incluir rotinas maliciosas. Em alguns casos, o comportamento suspeito só é ativado sob condições específicas, o que dificulta ainda mais a detecção.
O funcionamento do malware e o backdoor QUIC RAT
O código malicioso inserido no instalador instala um backdoor conhecido como QUIC RAT, uma ferramenta que permite controle remoto do sistema comprometido.
Após a execução, o malware estabelece comunicação com servidores controlados pelos atacantes, utilizando protocolos que podem se misturar ao tráfego legítimo, dificultando a identificação.
Entre as ações observadas estão:
- Coleta de informações do sistema
- Monitoramento de processos ativos
- Verificação de privilégios
- Execução remota de comandos
Um detalhe importante é que nem todas as máquinas infectadas recebem o payload completo. O ataque possui um mecanismo de seleção, ativando o backdoor apenas em alvos específicos. Isso indica uma operação direcionada, possivelmente focada em organizações ou perfis de maior interesse.
Impacto global e o rastro chinês
O ataque teve alcance internacional, com registros em diversos países, incluindo o Brasil. Isso amplia o risco, já que o DAEMON Tools ainda é amplamente utilizado em diferentes contextos.
Especialistas apontam que a infraestrutura utilizada na campanha apresenta características associadas a grupos de língua chinesa. No entanto, ainda não há confirmação oficial sobre a autoria.
Esse tipo de operação, pela complexidade envolvida, sugere um grupo com alto nível técnico e acesso a recursos avançados, reforçando a gravidade do incidente.
O que fazer se você instalou o DAEMON Tools recentemente
Se você instalou o DAEMON Tools nas versões 12.5.0.2421 a 12.5.0.2434, é fundamental agir rapidamente.
O primeiro passo é isolar a máquina da rede, especialmente em ambientes corporativos, para evitar comunicação com servidores maliciosos.
Em seguida, execute uma varredura completa com um antivírus atualizado. Ferramentas modernas podem identificar atividades associadas ao QUIC RAT e aos processos comprometidos como DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe.
Também é recomendável verificar:
- Programas iniciados automaticamente
- Conexões de rede suspeitas
- Tarefas agendadas desconhecidas
- Execução de arquivos fora do padrão
Se houver indícios de comprometimento mais profundo, considere a reinstalação do sistema operacional como medida de segurança.
Por fim, compartilhe este alerta. Quanto mais usuários estiverem informados, menor será o impacto desse tipo de ataque, que explora justamente a confiança em softwares legítimos.
