- Los atacantes envenenaron las descargas de DAEMON Tools con malware, infectando a miles de personas en todo el mundo
- La campaña primero implementó una infostellar, seguida de una puerta trasera selectiva en la máquina objetivo.
- Los investigadores sospechan de los actores chinos y señalan la precisión de los ataques contra gobiernos y sistemas industriales.
Daemon Tools, un popular programa utilizado para crear y utilizar unidades virtuales en una computadora, fue envenenado para ofrecer puertas traseras peligrosas a miles de usuarios, advirtieron los expertos.
Los investigadores de seguridad Kaspersky publicaron un nuevo informe sobre cómo alguien accedió al sitio web de alojamiento de DAEMON Tools alrededor del 8 de abril de 2026.
Cuando se instalan, estas versiones implementan múltiples variantes de malware. Primero, la víctima está infectada con una infostellar básica que captura datos del sistema (nombre de host, dirección MAC, procesos en ejecución, software instalado y configuración regional del sistema) y los transmite a los atacantes. Luego, según la información devuelta, el malware pasa a la segunda etapa, implementando una puerta trasera liviana capaz de ejecutar comandos, descargar archivos y ejecutar código directamente en la memoria.
El artículo continúa a continuación.
Ataques altamente dirigidos
Daemon Tools fue extremadamente popular a principios de la década de 2000, pero todavía se considera ampliamente utilizado en la actualidad.
Kaspersky señaló que entre sus propios clientes había visto “varios miles de intentos de infección” desde principios de abril, en más de 100 países y regiones de todo el mundo, con la mayoría de las víctimas en Rusia, Brasil, Turquía, España, Alemania, Francia, Italia y China.
Kaspersky también señaló que este parece ser un ataque muy dirigido. Los actores de amenazas no pueden elegir quién se infecta con Infostellar, ya que está alojado en el sitio web de DAEMON Tools. La segunda fase, sin embargo, se vio en una docena de máquinas pertenecientes a organizaciones gubernamentales, científicas, manufactureras y minoristas en Rusia, Bielorrusia y Tailandia.
“Este método de implementar una puerta trasera en un pequeño subconjunto de máquinas infectadas indica claramente que la intención del atacante era administrar una infección a un objetivo. Sin embargo, su motivo, ya sea ciberespionaje o ‘caza mayor’, no está claro actualmente”.
Kaspersky no ha identificado a los atacantes pero cree que son chinos.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
