La popular herramienta Daemon Tools fue utilizada para distribuir malware a miles de computadoras en más de 100 países, según reveló un informe de Kaspersky. El ataque, detectado a comienzos de abril, comprometió versiones oficiales del programa descargadas directamente desde el sitio legítimo de la aplicación, lo que elevó la preocupación entre expertos en ciberseguridad.
De acuerdo con los investigadores, las versiones afectadas iban desde la 12.5.0.2421 hasta la 12.5.0.2434. Aunque la compañía desarrolladora ya eliminó los componentes maliciosos mediante la actualización 12.6.0.2445, el incidente encendió las alarmas por la magnitud del ataque y por el método utilizado para distribuir el software infectado.
La amenaza no se propagó a través de páginas falsas ni instaladores modificados por terceros. Los archivos maliciosos llegaron mediante descargas oficiales firmadas digitalmente por los propios desarrolladores de Daemon Tools, una aplicación utilizada desde hace más de 15 años para crear unidades virtuales y montar imágenes de disco en computadoras con Windows.
PUBLICIDAD
Según Kaspersky, la operación corresponde a un ataque a la cadena de suministro, una modalidad cada vez más utilizada por ciberdelincuentes para infiltrarse en software legítimo y distribuir malware a gran escala.
En este tipo de ataques, los hackers no buscan engañar directamente al usuario final, sino comprometer previamente el software o los sistemas de distribución utilizados por compañías reconocidas. De esa manera, logran que miles de personas instalen programas aparentemente seguros sin sospechar que contienen código malicioso.
Los especialistas explicaron que los atacantes explotaron una puerta trasera dentro de Daemon Tools y comprometieron tres archivos binarios presentes en el directorio de instalación del software. Estos archivos se ejecutaban automáticamente al iniciar la computadora.
PUBLICIDAD
Cada vez que el sistema arrancaba, se activaba una comunicación silenciosa con un servidor remoto controlado por los atacantes. Desde allí, los ciberdelincuentes podían enviar instrucciones adicionales, descargar nuevas cargas maliciosas y ejecutar comandos de forma remota sobre los equipos afectados.
Aunque miles de computadoras fueron alcanzadas durante la primera etapa del ataque, Kaspersky detectó que solo una docena de dispositivos sufrió una segunda fase más avanzada. Entre ellos había equipos pertenecientes a gobiernos, organizaciones científicas y compañías del sector manufacturero y retail.
En los sistemas comprometidos inicialmente, el malware recopilaba información sensible del dispositivo. Entre los datos extraídos figuraban direcciones MAC, nombres de host, configuraciones regionales, programas instalados y procesos activos.
PUBLICIDAD
Sin embargo, en los equipos seleccionados para la segunda fase, los atacantes obtuvieron capacidades mucho más peligrosas. Podían descargar archivos adicionales, ejecutar código remoto y controlar distintas funciones del sistema infectado.
Por ahora, no se conoce oficialmente quién está detrás del ataque. Los investigadores encontraron componentes escritos en chino dentro del malware, aunque aclararon que eso no prueba necesariamente el origen de los responsables. También podría tratarse de una estrategia deliberada para confundir a los analistas y desviar la investigación.
El caso resulta especialmente preocupante debido a la enorme popularidad de Daemon Tools. Según los propios desarrolladores, el programa mantiene más de tres millones de usuarios mensuales y continúa siendo ampliamente utilizado tanto por usuarios domésticos como por empresas.
PUBLICIDAD
Los ataques a la cadena de suministro se han convertido en uno de los principales riesgos de la ciberseguridad moderna porque aprovechan la confianza que las personas depositan en programas legítimos y ampliamente reconocidos.
En los últimos años, incidentes similares afectaron a herramientas empresariales, plataformas de desarrollo y aplicaciones de uso masivo. La diferencia en este caso es que el malware llegó a través de instaladores oficiales correctamente firmados, algo que normalmente se considera una señal de autenticidad y seguridad.
Tras descubrir el problema, los desarrolladores de Daemon Tools publicaron una actualización que elimina los componentes maliciosos detectados. Kaspersky confirmó que la versión 12.6.0.2445 ya no contiene los archivos comprometidos.
PUBLICIDAD
Los expertos recomiendan a quienes tengan instalada alguna de las versiones afectadas actualizar inmediatamente el software y realizar un análisis completo del sistema con herramientas de seguridad confiables.
También aconsejan revisar procesos sospechosos, conexiones extrañas y programas desconocidos instalados recientemente, especialmente si la computadora fue utilizada durante abril, el período en el que el ataque estuvo activo.