O incidente de segurança
A empresa Disc Soft Limited, desenvolvedora do software de emulação de drives Daemon Tools, confirmou a invasão de seus sistemas internos. O ataque resultou na transformação de uma versão específica do aplicativo Daemon Tools Lite em um trojan malicioso. Este é um exemplo clássico de ataque de cadeia de suprimentos, onde a infraestrutura do fornecedor é comprometida para distribuir malware para os usuários finais.
O arquivo infectado foi identificado e removido do ar, sendo substituído por uma versão inofensiva. A empresa informou que a eliminação do vírus ocorreu em 12 horas após a identificação do problema, demonstrando uma resposta rápida, embora o impacto inicial já tenha ocorrido.
Versões afetadas e alcance
O ataque impactou especificamente os pacotes de instalação entre as versões 12.5.0.2421 e 12.5.0.2434. A versão 12.6, lançada na terça-feira (5), já está livre de malwares. Usuários que instalaram a versão 12.5.1 a partir de 8 de abril devem desinstalar o aplicativo imediatamente, escanear seus sistemas e instalar a versão mais recente.
A empresa afirmou que não houve impactos nas versões pagas, como Daemon Tools Pro e Ultra, indicando que o ataque foi direcionado à versão gratuita (Lite). No entanto, a natureza do malware instalado torna qualquer instalação comprometida uma prioridade de resposta a incidentes.
Análise do malware e comportamento
O malware instalado é classificado como um infostealer, projetado para roubar informações sensíveis do sistema. Entre os dados coletados estão softwares instalados, processos em execução, endereço MAC e outras informações de identificação do dispositivo. No segundo estágio da infecção, o malware é capaz de executar comandos remotos, baixar arquivos adicionais e rodar códigos diretamente na memória do sistema.
Um caso investigado incluiu o uso do QUIC RAT, que injeta código malicioso em processos legítimos, dificultando a detecção por antivírus tradicionais. A instalação de backdoors garante persistência, ativando-se na inicialização do sistema, o que permite que os atacantes mantenham acesso mesmo após reinicializações.
Impacto no Brasil e global
Embora o ataque tenha sido global, afetando mais de 100 países, o Brasil foi explicitamente mencionado como uma das regiões atingidas por usuários domésticos. Além do Brasil, países como Alemanha, China, Espanha, França, Itália, Rússia e Turquia também reportaram infecções.
Organizações, agências governamentais e indústrias na Bielorússia, Rússia e Tailândia também foram afetadas. A presença de usuários domésticos e corporativos no Brasil destaca a necessidade de conscientização sobre a segurança de software de terceiros e a importância de baixar apenas de fontes oficiais.
Medidas de mitigação recomendadas
Para mitigar os riscos deste ataque de cadeia de suprimentos, as seguintes ações são recomendadas:
- Desinstalação Imediata: Remover o Daemon Tools Lite versão 12.5.1 ou inferior imediatamente.
- Escaneamento de Sistema: Utilizar ferramentas de segurança robustas para escanear o sistema em busca de ameaças residuais e backdoors.
- Atualização: Instalar a versão 12.6 ou superior apenas do site oficial da Disc Soft Limited.
- Monitoramento de Rede: Monitorar tráfego de saída para detectar conexões suspeitas que possam indicar comunicação com servidores de comando e controle.
- Conscientização: Educar usuários sobre a importância de baixar software apenas de fontes verificadas e oficiais.
Conclusão e lições aprendidas
O comprometimento do Daemon Tools serve como um alerta para a importância da segurança na cadeia de suprimentos de software. Mesmo empresas estabelecidas podem ser alvo de invasores que buscam distribuir malware em larga escala. A resposta rápida da Disc Soft foi positiva, mas a prevenção de futuros incidentes requer uma abordagem mais ampla de segurança de desenvolvimento e distribuição de software.