Disc Soft Limited, desarrolladora de DAEMON Tools Lite, ha reconocido que su software fue víctima de un ciberataque a la cadena de suministro, una de las técnicas más peligrosas en ciberseguridad porque permite a los atacantes comprometer programas legítimos antes de que lleguen al usuario final. Según ha confirmado la propia compañía, algunos paquetes de instalación de la versión gratuita de DAEMON Tools Lite fueron alterados dentro de su entorno de compilación y llegaron a publicarse en estado comprometido. El incidente afectó, según los datos disponibles hasta ahora, a la versión gratuita de DAEMON Tools Lite 12.5.1, descargada o instalada desde el 8 de abril.
La empresa asegura que actuó con rapidez tras identificar el problema. La compañía también ha publicado una nueva versión, DAEMON Tools Lite 12.6, que no contiene los archivos sospechosos.
Qué ha ocurrido con DAEMON Tools Lite
DAEMON Tools Lite es una herramienta utilizada desde hace años para montar imágenes de disco y trabajar con archivos ISO. Precisamente por tratarse de un software conocido y distribuido desde su página oficial, el ataque resulta especialmente delicado.
En un ataque de cadena de suministro, el usuario no descarga malware desde una página falsa ni desde un enlace sospechoso, sino desde una fuente que normalmente considera fiable. En este caso, los instaladores manipulados procedían del propio entorno de distribución del fabricante, lo que aumentaba las posibilidades de infección.
Disc Soft ha explicado que, tras una investigación interna, detectó una “interferencia no autorizada” en su infraestructura. Como consecuencia, determinados paquetes de instalación se vieron afectados dentro del entorno de construcción del software y fueron publicados comprometidos.
La compañía afirma que ya ha asegurado su infraestructura, aunque todavía no ha atribuido el ataque a ningún grupo concreto ni ha explicado públicamente cuál fue el vector utilizado por los atacantes para acceder a sus sistemas.
La versión gratuita, principal afectada
Uno de los puntos que Disc Soft ha querido aclarar es el alcance del incidente. Según la compañía, el problema estaría limitado a la versión gratuita de DAEMON Tools Lite, sin afectar a otros productos de la empresa.
“Nuestro análisis actual indica que DAEMON Tools Pro y DAEMON Tools Ultra no se vieron afectados y son absolutamente seguros”, señaló Disc Soft. La empresa también indicó que no ha encontrado evidencias que respalden la idea de que todos los usuarios de DAEMON Tools estuvieran afectados.
De acuerdo con la información facilitada por el fabricante, los usuarios de versiones de pago, como DAEMON Tools Pro, DAEMON Tools Ultra o ediciones pagadas de DAEMON Tools Lite, pueden seguir utilizando su software con normalidad.
Aun así, el incidente vuelve a poner sobre la mesa un problema recurrente en ciberseguridad: incluso el software firmado digitalmente y descargado desde canales oficiales puede verse comprometido si el atacante logra infiltrarse en los sistemas del proveedor.
Miles de sistemas expuestos en más de 100 países
La empresa de ciberseguridad Kaspersky fue la que reveló inicialmente el ataque. Según sus investigadores, los atacantes consiguieron troyanizar instaladores de DAEMON Tools Lite y utilizarlos para abrir puertas traseras en miles de sistemas de más de 100 países.
Los instaladores afectados estaban firmados digitalmente, lo que hacía que parecieran legítimos para muchos usuarios y soluciones de seguridad. Las versiones comprometidas se movían entre la 12.5.0.2421 y la 12.5.0.2434, según el análisis de Kaspersky.
Una vez ejecutado el instalador, el código malicioso desplegaba una primera carga diseñada para recopilar información básica del equipo infectado. Entre los datos recogidos se encontraban el nombre del equipo, la dirección MAC, los procesos en ejecución, el software instalado y la configuración regional del sistema.
Esta primera fase servía para perfilar a las víctimas. Es decir, los atacantes analizaban qué tipo de sistema habían comprometido antes de decidir si desplegaban una segunda carga maliciosa más avanzada.
