I file di installazione di Daemon Tools, popolare utility per il montaggio di immagini disco, sono stati hackerati e l'attacco è ancora attivo. L'Italia figura tra i paesi più colpiti.
Autore: Redazione SecurityOpenLab
Daemon Tools è una utility molto nota, che serve per montare immagini disco in formato ISO e simili senza bisogno di masterizzarle su un supporto fisico. Nato come strumento per utenti privati e appassionati, nel tempo è diventato un riferimento anche per professionisti IT e ambienti di sviluppo software, e in generale ovunque si abbia la necessità di gestire pacchetti di installazione, archivi di sistema o ambienti di test. Proprio questa diffusione trasversale lo ha reso un bersaglio appetibile: i ricercatori di Kaspersky hanno scoperto che dall'8 aprile 2026 i file di installazione ufficiali del software risultano manomessi e che l'attacco era ancora in corso al momento della pubblicazione del report.
Per ripercorrere l’accaduto bisogna tornare indietro nel tempo al 27 marzo 2026, quando un attaccante non ancora identificato ha registrato un dominio pensato per sembrare quello legittimo di Daemon Tools. Undici giorni dopo, l'8 aprile, hanno cominciato a essere distribuite le prime versioni compromesse del software direttamente dal sito ufficiale del produttore (AVB Disc Soft) e firmate con i certificati digitali legittimi. Gli esperti hanno appurato che le versioni compromesse vanno dalla 12.5.0.2421 alla 12.5.0.2434. Al loro interno, tre file eseguibili che si avviano automaticamente all'accensione del computer erano stati alterati per includere un componente malevolo nascosto nel codice di avvio del programma. A ogni riavvio della macchina, quel componente si connetteva silenziosamente a un server controllato dagli attaccanti, in attesa di istruzioni.
Chi ha scaricato i file di installazione dall’8 aprile in avanti ha installato di fatto la versione hackerata del software. Nelle prime settimane, il server ha inviato a quasi tutte le macchine infette un piccolo programma con il compito di raccogliere informazioni sul sistema, quali per esempio hostname, lista dei processi in esecuzione, software installati, impostazioni locali. Erano dati sufficienti per capire se la macchina infetta appartenesse a un privato o a un'azienda di qualche interesse. Nel codice di questo strumento di raccolta sono stati trovati testi in cinese, che hanno suggerito la provenienza dell'attaccante, anche se Kaspersky non ha attribuito formalmente l'attacco a nessun gruppo noto.
Complessivamente sono state infettate migliaia di macchine, e fra queste gli attaccanti ne hanno selezionate circa una dozzina sulle quali installare una backdoor più sofisticata, in grado di scaricare file, eseguire comandi da remoto e caricare ulteriore codice malevolo direttamente in memoria senza lasciare tracce sul disco. La scelta dei bersagli è caduta su organizzazioni che operano nei settori retail, scientifico, manifatturiero e governativo, tutte localizzate in Russia, Bielorussia e Thailandia. Su un'unica macchina, appartenente a un'istituzione accademica russa, è stato distribuito un terzo strumento ancora più complesso, capace di comunicare con i server degli attaccanti attraverso molteplici protocolli di rete e di iniettarsi in processi di sistema legittimi per nascondersi meglio.
Le macchine infette appartengono a privati e organizzazioni in oltre 100 paesi; tra quelli più colpiti figurano Russia, Brasile, Turchia, Spagna, Germania, Francia, Italia e Cina. Per chi ha installato Daemon Tools tra l'8 aprile e oggi, il consiglio è di verificare la versione installata e controllare eventuali attività anomale sul sistema a partire da quella data. L'intera vicenda fa parte di una più ampia tendenza agli attacchi alla supply chain, che di recente hanno coinvolto, fra gli altri, eScan, Notepad++ e CPU-Z.