In una recente analisi telemetrica, i ricercatori hanno scoperto che, a partire dall’8 aprile 2026, alcuni cybercriminali hanno distribuito attivamente il software modificato direttamente tramite il dominio principale del vendor, riuscendo a nascondere il malware grazie a un regolare certificato digitale dello sviluppatore. L’injection dannosa ha colpito Daemon Tools dalla versione 12.5.0.2421 fino a quella attuale. Kaspersky ha informato AVB Disc Soft, sviluppatore di Daemon Tools, affinché possano essere intraprese azioni correttive.
Poiché i software di virtualizzazione dei dischi richiedono un accesso di basso livello al sistema per funzionare correttamente, gli utenti concedono abitualmente all’applicazione privilegi amministrativi elevati durante l’installazione. Questo meccanismo consente al malware integrato di assicurarsi una solida presenza all’interno del sistema operativo ospitante, compromettendo gravemente l’integrità del dispositivo. Nello specifico, gli autori degli attacchi hanno manomesso i file binari delle applicazioni legittime per eseguire codice dannoso all’avvio del processo e hanno sfruttato un servizio Windows legittimo per mantenere la persistenza sull’host.
I dati di telemetria di Kaspersky indicano una diffusione capillare e su scala globale degli aggiornamenti compromessi in oltre 100 paesi e regioni. La maggior parte delle vittime si trova in Russia, Brasile, Turchia, Spagna, Germania, Francia, Italia e Cina.
L’analisi mostra che il 10% dei sistemi colpiti appartiene ad aziende e organizzazioni. Sebbene Daemon Tools sia ampiamente utilizzato da parte dei consumatori, la sua presenza negli ambienti lavorativi espone le reti aziendali a gravi rischi.
Su un piccolo gruppo di poco più di dieci macchine — appartenenti a organizzazioni che operano nei settori della vendita al dettaglio, scientifico, governativo e manifatturiero — Kaspersky GReAT ha osservato che gli autori degli attacchi hanno distribuito manualmente payload aggiuntivi, tra cui un injector di shellcode e Remote Access Trojan (RAT) finora sconosciuti. Il profilo settoriale ristretto di queste vittime, combinato con errori di battitura e incongruenze nei comandi eseguiti, indica che l’attività successiva è condotta manualmente nei confronti di obiettivi specificamente scelti. Sebbene i ricercatori abbiano identificato artefatti in lingua cinese all’interno degli impianti dannosi, la campagna non è attualmente attribuita ad alcun attore di minaccia noto.
“Una violazione di questo tipo aggira le tradizionali difese perimetrali perché gli utenti ripongono implicitamente fiducia nel software firmato digitalmente e scaricato direttamente da un fornitore ufficiale”, ha affermato Georgy Kucherin, Senior Security Researcher di Kaspersky GReAT. “Per questo motivo, l’attacco a Daemon Tools è passato inosservato per circa un mese. Questo lasso di tempo, a sua volta, indica che l’autore della minaccia dietro questo attacco è esperto e dispone di capacità offensive avanzate. Data l’elevata complessità della compromissione, è quindi di fondamentale importanza che le organizzazioni isolino i computer su cui è installato il software Daemon Tools, oltre a condurre scansioni di sicurezza per impedire l’ulteriore diffusione di attività malevoli all’interno delle reti aziendali”.
Kaspersky rileva e blocca attivamente l’esecuzione dei programmi di installer compromessi. I ricercatori consigliano alle aziende di verificare la presenza di Daemon Tools Lite nelle proprie reti, isolare gli endpoint colpiti e monitorare l’eventuale esecuzione di comandi non autorizzati o movimenti laterali. Gli utenti privati dovrebbero disinstallare immediatamente l’applicazione compromessa ed eseguire una scansione approfondita del sistema per eliminare eventuali minacce presenti. Leggi la ricerca completa su Securelist.com. A marzo 2026, una ricerca di Kaspersky ha rilevato che gli attacchi alla supply chain sono stati la minaccia informatica più diffusa affrontata dalle aziende nei 12 mesi precedenti, eppure solo il 9% delle organizzazioni li ha classificati come una delle principali preoccupazioni.
Per mitigare i rischi associati agli attacchi alla supply chain dei software, alcuni suggerimenti:
· Verificare le supply chain dei software: prima di autorizzare l’uso di applicazioni di terze parti negli ambienti aziendali, valutare i dati relativi alla sicurezza del fornitore, esaminare le informazioni sulla divulgazione delle vulnerabilità e verificare la conformità agli standard di sicurezza del settore.
· Applicare protocolli di procurement rigorosi: imporre verifiche di sicurezza periodiche per tutti i software in uso e garantire che gli strumenti utilizzati dai dipendenti siano conformi alle policy di sicurezza interne dell’organizzazione e ai requisiti di segnalazione degli incidenti.
· Limitare i privilegi amministrativi: implementare modelli di prevenzione, come il principio del privilegio minimo e l’architettura zero-trust. Limitare i diritti di accesso degli utenti riduce significativamente il potenziale raggio d’azione di un attacco nel caso in cui un’applicazione affidabile venga compromessa e tenti di eseguire comandi non autorizzati.
· Implementare il monitoraggio continuo dell’infrastruttura: utilizzare soluzioni di rilevamento e risposta estesi (XDR) che offrono un monitoraggio in tempo reale per identificare anomalie nel traffico di rete o azioni non autorizzate provenienti da software considerato implicitamente affidabile.
· Aggiornare i playbook di incident response: assicurarsi che le strategie di sicurezza dell’organizzazione prevedano esplicitamente le violazioni alla catena di approvvigionamento. I playbook devono includere procedure predefinite per identificare, contenere e scollegare rapidamente dai sistemi interni le applicazioni di terze parti compromesse.
