Mucho ojo si tienes Daemon Tools instalado en tu PC. Investigadores de Kaspersky descubrieron que la popular aplicación para montar imágenes de disco en unidades virtuales fue infectada con malware a comienzos de abril y que el ataque se mantuvo activo a lo largo de todo el mes.
La versión infectada de Daemon Tools llegó a miles de ordenadores pertenecientes tanto a individuos como a organizaciones, indican los expertos. Se registraron casos en más de 100 países, aunque los indicios detectados apuntan a que el ataque se dirigió contra objetivos puntuales.
A pesar de que las versiones de Daemon Tools con malware se instalaron en muchas máquinas alrededor del mundo, en solo una docena de estas se observó que los ataques se expandieron más allá de la etapa inicial. En dichos ordenadores, que pertenecían a gobiernos, entidades científicas y empresas fabricantes y de retail, se registró la descarga de más archivos ejecutables desde un servidor malicioso.
De acuerdo con lo reportado, las versiones de Daemon Tools impactadas iban de la 12.5.0.2421 hasta la 12.5.0.2434. En una actualización que se publicó este miércoles, Kaspersky confirmó que los desarrolladores de la aplicación eliminaron los componentes maliciosos en la versión 12.6.0.2445.
Lo más preocupante de este ataque es que no se realizó con versiones falsas de Daemon Tools, ni por intermedio de sitios web maliciosos. Las infecciones se perpetraron a través de los instaladores distribuidos por la web oficial del software, firmados digitalmente por los desarrolladores de la utilidad.
¿Cómo se gestó el ataque con malware a través de Daemon Tools?
Según reconstruyeron los especialistas en ciberseguridad, Daemon Tools fue víctima de un ataque a la cadena de suministros. Esto significa que actores maliciosos hallaron y explotaron una puerta trasera en el software. De esta manera, lograron comprometer tres archivos binarios en el directorio de instalación del software que se ejecutan al iniciarse el ordenador.
Cada vez que uno de estos archivos se ejecutaba, se activaba una puerta trasera que generaba una comunicación con un servidor malicioso. Esto permitía la ejecución de un comando shell para la obtención y el despliegue de cargas maliciosas en los ordenadores impactados. Como indicamos previamente, si bien miles de PC sufrieron la etapa inicial del ataque, la continuidad del ataque con cargas secundarias se registró en apenas una docena de equipos.
Los ordenadores con Daemon Tools que padecieron la primera parte del ciberataque recibieron una carga capaz de recolectar información. Entre los datos extraídos se encuentran las direcciones MAC, nombres de dominio DNS y de host, configuraciones regionales del sistema, programas instalados y procesos en ejecución.
Asimismo, los equipos que recibieron cargas adicionales quedaron a merced de la descarga de archivos y la ejecución de comandos y código de forma remota. De momento, se desconoce quién se encuentra detrás de este elaborado ataque. Los componentes maliciosos que se detectaron en Daemon Tools incluían elementos escritos en chino. Todavía no hay precisiones sobre si se trató de un trabajo perpetrado por hackers del gigante asiático, o si es una treta de autores de otro origen para despistar a los investigadores.
El ataque a través de Daemon Tools no solo es grave por su complejidad, sino porque sacó provecho de una aplicación con millones de descargas. Los responsables del software indican que la aplicación tiene más de 3 millones de usuarios mensuales, y ya lleva más de 15 años a disposición de los usuarios.
Si usas Daemon Tools habitualmente, escanea tu PC en busca de cualquier potencial amenaza. La más reciente versión del software también elimina todos los componentes infectados, ha verificado Kaspersky. Seguiremos atentos a las novedades.
Seguir leyendo: Tu PC está en peligro: esta popular aplicación con millones de descargas tiene malware