Aplicația DAEMON Tools a fost infectată cu malware: utilizatorii au descărcat virusul chiar de pe site-ul oficial

DAEMON Tools, una dintre cele mai cunoscute aplicații Windows pentru montarea imaginilor de disc ca unități virtuale, a fost compromisă într-un atac de tip supply-chain care a livrat malware utilizatorilor direct prin instalatoare descărcate de pe site-ul oficial. Potrivit Kaspersky, atacul este activ din 8 aprilie 2026 și a afectat instalatoare semnate digital, ceea ce le-a făcut să pară legitime pentru utilizatori și sisteme de securitate.

Cazul este cu atât mai grav cu cât nu vorbim despre o copie piratată, un site fals sau un fișier distribuit prin canale obscure. Utilizatorii care au descărcat programul din sursa oficială puteau instala, fără să știe, o versiune infectată a aplicației, scrie presa străină de specialitate. Pentru un atacator, acesta este unul dintre cele mai eficiente scenarii: compromiți lanțul de distribuție și lași încrederea în brand să facă restul.

Ce versiuni DAEMON Tools au fost afectate

Conform cercetătorilor, versiunile DAEMON Tools afectate sunt cele din intervalul 12.5.0.2421 – 12.5.0.2434. Componentele compromise includ fișierele DTHelper.exe, DiscSoftBusServiceLite.exe și DTShellHlp.exe, iar codul malițios era inclus în fișiere semnate cu certificat digital valid al dezvoltatorului.

După instalare, malware-ul își crea persistență și se activa la pornirea sistemului. Prima etapă funcționa ca un colector de informații: aduna date despre numele computerului, adresa MAC, procesele active, aplicațiile instalate și setările regionale ale sistemului. Aceste informații erau trimise mai departe către infrastructura atacatorilor, probabil pentru trierea victimelor.

Vezi și:

Ce autostrăzi ar putea fi inaugurate până la finalul anului 2026. Peste 250 de kilometri de drum de mare viteză sunt așteptați

Partea importantă este că nu toate sistemele infectate au primit același tratament. Deși atacul a dus la mii de infecții în peste 100 de țări, doar un număr redus de calculatoare au primit programe malițioase suplimentare. Acest detaliu sugerează că atacatorii nu urmăreau doar răspândire masivă, ci identificau ținte valoroase înainte de a trece la faza următoare.

Ținte puține, dar importante

Printre sistemele care au primit componente de etapă secundară s-au aflat organizații din retail, cercetare, sector guvernamental și producție, în țări precum Rusia, Belarus și Thailanda. În aceste cazuri, atacatorii ar fi instalat un backdoor, adică o „ușă din spate” prin care puteau executa comenzi, descărca fișiere și rula cod direct în memorie.

Kaspersky a observat, într-un caz care a vizat o instituție educațională din Rusia, și folosirea unui malware mai avansat, numit QUIC RAT. Acesta ar putea comunica prin mai multe protocoale și ar putea injecta cod malițios în procese legitime, o tehnică folosită pentru a ascunde activitatea rău intenționată și pentru a face detectarea mai dificilă.

Vezi și:

Cum funcționează securitatea pe Mac – modul inteligent în care Apple îți protejează datele, comunicațiile și sistemul de operare. De ce s-ar putea să nu ai nevoie de antivirus în MacOS

Alerta falsă care a speriat administratorii Windows: Microsoft Defender a confundat certificate DigiCert legitime cu malware

Deși cercetătorii nu au atribuit atacul unui grup anume, au fost găsite indicii lingvistice care ar putea sugera că atacatorii sunt vorbitori de chineză. Totuși, astfel de indicii trebuie tratate cu prudență, pentru că pot fi reale, accidentale sau plantate intenționat pentru a induce în eroare anchetatorii.

De ce este periculos un virus descărcat dintr-o sursă oficială

Atacurile de tip supply-chain sunt printre cele mai greu de prevenit pentru utilizatorii obișnuiți, tocmai pentru că exploatează încrederea în software legitim. Dacă descarci un program de pe site-ul oficial și acesta este semnat digital, ai toate motivele să crezi că fișierul este sigur. În cazul DAEMON Tools, exact această încredere a fost transformată în armă.

Problema este amplificată de natura aplicației. DAEMON Tools are nevoie de acces mai profund în sistem pentru a monta imagini de disc și pentru a funcționa corect ca utilitar de virtualizare. Asta înseamnă că, odată compromis, software-ul poate oferi malware-ului o poziție mult mai puternică în sistem decât o aplicație obișnuită.

Incidentul se înscrie într-un val mai amplu de atacuri similare raportate în 2026, după cazuri care au vizat eScan, Notepad++ și CPU-Z. Tendința arată că atacatorii nu mai caută doar breșe în dispozitivele utilizatorilor, ci și în mecanismele prin care software-ul ajunge la ei.

Pentru cei care au instalat sau actualizat DAEMON Tools după 8 aprilie 2026, recomandarea de bază este verificarea sistemului cu o soluție de securitate actualizată și analizarea oricărei activități suspecte apărute după acea dată. În mediile corporate, calculatoarele pe care a fost instalat software-ul ar trebui tratate ca potențial compromise până la finalizarea unei investigații interne. Atacul DAEMON Tools este un nou memento că, în securitate cibernetică, „site oficial” nu mai înseamnă automat „risc zero”.

Parbriz care se dezaburește greu: filtru de habitaclu, AC sau clapete, ordinea corectă a verificărilor