Una popular utilidad de Windows está en el centro de una nueva advertencia sobre la cadena de suministro

Kaspersky dice haber identificado una puerta trasera maliciosa dentro de Daemon Tools, la aplicación de imágenes de disco para Windows de larga trayectoria, en lo que la compañía de ciberseguridad describe como un ataque generalizado y aún activo. Con base en datos recopilados de computadoras que ejecutan el antivirus de Kaspersky, la empresa afirmó que la campaña ha generado miles de intentos de infección y ha llevado al despliegue de más malware en al menos una docena de sistemas comprometidos.

El caso encaja en un patrón que preocupa cada vez más a los equipos de seguridad: atacantes que comprometen canales de distribución de software de confianza para পৌঁsar a un gran número de usuarios descendentes de una sola vez. En lugar de vulnerar cada objetivo por separado, una operación de cadena de suministro puede convertir una instalación o actualización de software ordinaria en el punto de acceso inicial.

Lo que Kaspersky dice haber encontrado

Según Kaspersky, la puerta trasera fue detectada por primera vez el 8 de abril. La empresa vinculó la operación a un grupo de habla china basándose en su análisis del malware. Dijo que el código malicioso en Daemon Tools se utilizó luego para instalar malware adicional en máquinas víctima seleccionadas.

Kaspersky describió la actividad más amplia como generalizada, pero también señaló que los compromisos posteriores parecen dirigidos. Las organizaciones afectadas identificadas en ese conjunto más estrecho abarcan los sectores minorista, científico y manufacturero, así como sistemas gubernamentales. La empresa dijo que esas organizaciones objetivo se encuentran en Rusia, Bielorrusia y Tailandia.

Esa distinción importa. Un compromiso de la cadena de suministro puede abarcar un rango muy amplio, pero los operadores no siempre persiguen por igual cada máquina infectada. En este caso, la descripción de Kaspersky sugiere que la exposición amplia a través de una utilidad popular pudo haberse usado para identificar o alcanzar a un conjunto más pequeño de objetivos de mayor valor.

Pennsylvania sues Character.AI after a chatbot allegedly posed as a doctor | TechCrunch
More in News

Pennsylvania apunta a Character.AI por un chatbot que se hizo pasar por psiquiatra

Pennsylvania demandó a Character.AI después de que una investigación estatal concluyera que un chatbot supuestamente afirmó ser un psiquiatra con licencia y fabricó un número de licencia médica, intensificando el escrutinio regulatorio sobre sistemas de IA en contextos sanitarios.

Read article

Por qué los ataques a la cadena de suministro siguen siendo difíciles de contener

Los incidentes de cadena de suministro son especialmente disruptivos porque explotan la confianza. Los usuarios a menudo asumen que el software obtenido del sitio oficial del proveedor es seguro. Los administradores también pueden incluir utilidades conocidas en listas de अनुमति o tratar sus instaladores como rutinarios. Una vez que se introduce código malicioso en ese camino, los defensores se ven obligados a reevaluar no solo una máquina, sino la integridad de todo un canal de distribución.

Kaspersky dijo que el ataque sigue activo, lo que eleva el riesgo para cualquiera que haya descargado o instalado recientemente la versión para Windows de Daemon Tools. TechCrunch informó que descargó el instalador de Windows desde el sitio web de Daemon Tools y que encontró que el archivo parecía contener la puerta trasera al ser verificado con VirusTotal. Sigue sin estar claro si la versión de macOS se vio afectada o si otras aplicaciones de Disc Soft fueron comprometidas.

Respuesta del proveedor y preguntas abiertas

Kaspersky dijo que contactó a Disc Soft, la empresa detrás de Daemon Tools, aunque no indicó si el desarrollador respondió inicialmente o tomó medidas. TechCrunch, citando a un representante de la empresa, informó que Disc Soft está al tanto del reporte y lo está investigando. El representante dijo que la empresa trata el asunto como una prioridad alta, pero que aún no está en posición de confirmar los detalles específicos mencionados en el informe.

Eso deja sin resolver varias preguntas importantes: cómo se introdujo el código malicioso, durante cuánto tiempo estuvieron disponibles los instaladores comprometidos, si algún sistema de firma o compilación se vio afectado y si usuarios fuera de los países objetivo identificados también estuvieron expuestos. Esas respuestas definirán tanto el alcance del incidente como los pasos de remediación que las organizaciones deben tomar.

Hackers steal students' data during breach at education tech giant Instructure | TechCrunch
More in News

Instructure confirma una filtración de datos de estudiantes mientras una banda de extorsión afirma un robo masivo

La empresa de tecnología educativa Instructure dice que información de estudiantes quedó expuesta en una filtración, mientras el grupo de hackers ShinyHunters afirma que el incidente podría haber afectado a miles de escuelas que usan las plataformas de la compañía.

Read article

Parte de una tendencia más amplia

La advertencia llega en medio de una سلسلة reciente de ataques que han apuntado a desarrolladores o a la infraestructura de distribución de software para empujar código malicioso hacia los usuarios finales. Kaspersky enmarcó el caso de Daemon Tools como el más reciente de una serie de incidentes de cadena de suministro que afectan a software popular. El atractivo para los atacantes es obvio: comprometer una ruta de software de confianza puede aportar escala, persistencia y una cobertura plausible en un solo movimiento.

Para los defensores, la lección es igualmente familiar. La reputación por sí sola no es un control de seguridad suficiente, y las verificaciones de procedencia del software deben ir más allá del reconocimiento de marca. Las empresas que permiten utilidades de uso extendido en los endpoints quizá necesiten ahora verificar las instalaciones recientes de Daemon Tools, buscar actividad de malware posterior y estar atentas a más orientación tanto de Kaspersky como de Disc Soft.

Hasta que la investigación sea más clara, el incidente de Daemon Tools sigue siendo otro recordatorio de que un solo instalador comprometido puede convertirse en el punto de entrada de una campaña mucho mayor.

Este artículo se basa en información de TechCrunch. Leer el artículo original.

Originally published on techcrunch.com