Kaspersky diz que o backdoor da cadeia de suprimentos do Daemon Tools está atingindo usuários do Windows em uma campanha ainda ativa

Por que ataques à cadeia de suprimentos continuam difíceis de conter

Incidentes de cadeia de suprimentos são singularmente disruptivos porque exploram a confiança. Os usuários muitas vezes presumem que o software obtido no site oficial do fornecedor é seguro. Administradores também podem colocar utilitários conhecidos em listas de permissão ou tratar seus instaladores como rotina. Uma vez que código malicioso é introduzido nesse caminho, os defensores são obrigados a reavaliar não apenas uma máquina, mas a integridade de todo um canal de distribuição.

A Kaspersky disse que o ataque ainda está ativo, o que aumenta o risco para quem possa ter baixado ou instalado recentemente a versão para Windows do Daemon Tools. A TechCrunch informou que baixou o instalador para Windows do site do Daemon Tools e constatou que o arquivo parecia conter o backdoor quando verificado com o VirusTotal. Ainda não está claro se a versão para macOS foi afetada ou se outros aplicativos da Disc Soft foram comprometidos.

Resposta do fornecedor e questões em aberto

A Kaspersky disse ter entrado em contato com a Disc Soft, a empresa por trás do Daemon Tools, embora não tenha informado se a desenvolvedora respondeu inicialmente ou tomou alguma medida. A TechCrunch, citando um representante da empresa, relatou que a Disc Soft está ciente do relatório e o está investigando. O representante disse que a empresa trata o assunto como alta prioridade, mas ainda não está em posição de confirmar os detalhes específicos mencionados no relatório.

Isso deixa várias questões importantes sem resposta: como o código malicioso foi introduzido, por quanto tempo os instaladores comprometidos ficaram disponíveis, se algum sistema de assinatura ou compilação foi afetado e se usuários fora dos países-alvo identificados também foram expostos. Essas respostas vão definir tanto o escopo do incidente quanto as medidas de remediação que as organizações precisam adotar.

Parte de uma tendência mais ampla

O alerta chega em meio a uma sequência recente de ataques que miraram desenvolvedores ou a infraestrutura de distribuição de software para empurrar código malicioso para baixo na cadeia. A Kaspersky enquadrou o caso do Daemon Tools como o mais recente de uma série de incidentes de cadeia de suprimentos que afetam softwares populares. O apelo para os atacantes é óbvio: comprometer um caminho de software confiável pode oferecer escala, persistência e cobertura plausível em uma única ação.

Para os defensores, a lição também é familiar. Reputação por si só não é um controle de segurança suficiente, e as verificações de procedência do software precisam ir além do reconhecimento da marca. Empresas que permitem utilitários amplamente usados nos endpoints talvez precisem agora verificar instalações recentes do Daemon Tools, procurar atividade posterior de malware e acompanhar orientações adicionais da Kaspersky e da Disc Soft.

Até que a investigação fique mais clara, o incidente do Daemon Tools permanece como mais um lembrete de que um único instalador comprometido pode se tornar o ponto de entrada de uma campanha muito maior.

Este artigo se baseia na cobertura da TechCrunch. Leia o artigo original.