Daemon Tools: backdoor nascosta nell'installer
Topic
Approfondimenti
Trending
tutti

Daemon Tools: backdoor nascosta nell'installer

Alcune versioni di Daemon Tools sono state infettate con backdoor da ignoti cybercriminali (forse cinesi) che possono rubare dati e installare malware.
Daemon Tools: backdoor nascosta nell'installer
Sicurezza
Alcune versioni di Daemon Tools sono state infettate con backdoor da ignoti cybercriminali (forse cinesi) che possono rubare dati e installare malware.
Daemon Tools

I ricercatori di Kaspersky hanno individuato una backdoor nell’installer di Daemon Tools, popolare software per il montaggio di immagini software tramite unità ottiche virtuali. Si tratta del classico attacco supply chain che prevede l’accesso ai server usati per il download delle applicazioni. AVB Disc Soft ha rimosso gli installer infetti e pubblicato nuove versioni.

Infezione presente da quasi un mese

All’inizio di maggio, gli esperti di Kaspersky hanno rilevato malware negli installer delle versioni da 12.5.0.2421 a 12.5.0.2434 di Daemon Tools pubblicate sul sito ufficiale. L’infezione era presenta dall’8 aprile, quindi da circa un mese. In base ad alcuni indizi trovati nel codice sembra che l’attacco supply chain sia opera di cybercriminali cinesi.

I ricercatori hanno individuato versioni infette di tre eseguibili: DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. Si trovano nella directory di installazione del software e sono firmati con un certificato originale dello sviluppatore. Quando uno dei file viene eseguito (all’avvio del computer) si attiva la backdoor che comunica con il server remoto.

Successivamente vengono scaricati diversi payload. Uno di essi raccoglie diverse informazioni sul computer, tra cui indirizzo MAC, hostname, dominio DNS, lingua, elenco processi in esecuzione, elenco app installate. Dopo aver individuato i bersagli più appetibili viene scaricata una seconda backdoor che contatta un altro server, dal quale riceve comandi e file.

Una backdoor più sofisticata, denominata QUIC RAT, è stata installata solo sul computer di un’istituzione scolastica russa. È scritta in C++ e può iniettare payload nei processi di Notepad e Console Windows Host. Per la comunicazione con il server remoto utilizza diversi protocolli. L’analisi è ancora in corso.

I computer infetti si trovano in oltre 100 paesi, la maggioranza dei quali in Russia, Brasile, Turchia, Spagna, Germania, Francia, Italia e Cina. Le backdoor più avanzate sono state installate sui computer di aziende e organizzazioni, quindi potrebbe essere un tentativo di cyberspionaggio.

Gli utenti devono rimuovere immediatamente le versioni infette (se installate) e scaricare la versione 12.6.0.2445 che non include nessuna backdoor.

Fonte: Kaspersky

Pubblicato il 6 mag 2026

Link copiato negli appunti

Ti potrebbe interessare

Energizer ha la batteria anti-ingestione per bambini: come funziona

Energizer ha la batteria anti-ingestione per bambini: come funziona
Scegli Norton 360 Advanced, l'antivirus che protegge da truffe e minacce al 67% di sconto

Scegli Norton 360 Advanced, l'antivirus che protegge da truffe e minacce al 67% di sconto
Copy Fail: grave vulnerabilità in tutte le distribuzioni Linux

Copy Fail: grave vulnerabilità in tutte le distribuzioni Linux
Vulnerabilità di cPanel sfruttata dal ransomware Sorry

Vulnerabilità di cPanel sfruttata dal ransomware Sorry
Energizer ha la batteria anti-ingestione per bambini: come funziona

Energizer ha la batteria anti-ingestione per bambini: come funziona
Scegli Norton 360 Advanced, l'antivirus che protegge da truffe e minacce al 67% di sconto

Scegli Norton 360 Advanced, l'antivirus che protegge da truffe e minacce al 67% di sconto
Copy Fail: grave vulnerabilità in tutte le distribuzioni Linux

Copy Fail: grave vulnerabilità in tutte le distribuzioni Linux
Vulnerabilità di cPanel sfruttata dal ransomware Sorry

Vulnerabilità di cPanel sfruttata dal ransomware Sorry
Luca Colantuoni
Pubblicato il
6 mag 2026
Link copiato negli appunti