Chi frequenta il mondo dell’informatica da parecchi anni probabilmente ricorda bene Daemon Tools, quel software che nel periodo d’oro dei lettori CD e DVD era praticamente un must su ogni computer. Serviva a creare drive ottici virtuali, facendo credere al sistema operativo che un file salvato sull’hard disk fosse in realtà un disco fisico. Oggi ovviamente il bisogno è molto ridotto, ma Daemon Tools esiste ancora, e il problema è proprio questo: secondo i ricercatori di Kaspersky, il software è stato compromesso con una backdoor malevola che sta mettendo a rischio migliaia di computer.
La campagna è stata definita “diffusa” e riguarda sistemi che girano su Windows 10 e Windows 11. Stando all’analisi pubblicata, il malware ha come scopo principale quello di installare ulteriori pacchetti infetti su macchine selezionate, colpendo ambienti che spaziano dal settore retail a quello scientifico, dal manifatturiero fino ad arrivare persino a contesti governativi. Gli attacchi mirati individuati finora hanno coinvolto organizzazioni in Russia, Bielorussia e Thailandia, il che lascia intendere un’operazione con obiettivi specifici ben definiti, oltre alla diffusione su larga scala.
Un attacco ancora in corso e attribuito a un gruppo cinese
La backdoor è stata individuata per la prima volta l’8 aprile e, particolare tutt’altro che trascurabile, l’attacco risulta ancora attivo. Questo significa che chiunque stia utilizzando la versione compromessa di Daemon Tools resta esposto al rischio. Kaspersky attribuisce l’attività a un gruppo di lingua cinese, basandosi sulle caratteristiche del codice del malware, ma senza sbilanciarsi oltre su identità o affiliazioni precise.
Dal canto suo, Disc Soft, la società proprietaria di Daemon Tools, ha fatto sapere di essere al corrente della situazione e di aver avviato un’indagine interna. Non sono però stati ancora confermati dettagli tecnici né l’estensione completa della compromissione, anche se l’azienda assicura di trattare la questione con la massima priorità. Al momento non è nemmeno chiaro se la versione macOS del software sia coinvolta, né se altri prodotti dello stesso sviluppatore presentino problemi analoghi.
Supply chain attack: un fenomeno in crescita
Quello che è successo a Daemon Tools rientra nella categoria dei cosiddetti attacchi supply chain, una tipologia che sta diventando sempre più frequente e che rappresenta una delle minacce più insidiose nel panorama della sicurezza informatica. Il meccanismo è tanto semplice nella logica quanto devastante negli effetti: gli hacker riescono a infiltrarsi “a monte” del software, magari violando i server dove risiede il codice sorgente, e iniettano il malware prima ancora che il programma venga distribuito agli utenti finali. Il risultato è che chi scarica e installa quello che crede essere un aggiornamento legittimo si ritrova in realtà con un sistema infetto, senza averne la minima percezione.
Per chi ha installato una versione recente di Daemon Tools, il suggerimento più immediato è rimuovere il software, limitare il più possibile l’accesso a internet della macchina coinvolta e procedere con una serie approfondita di scansioni antivirus.
