La regola base dell’informatica aziendale era già abbastanza umiliante: non fidarti degli allegati strani. Ora possiamo aggiungere la versione deluxe 2026: non fidarti nemmeno dell’installer scaricato dal sito ufficiale, firmato con certificato ufficiale, con aria da software legittimo e tutto il profumo burocratico della normalità.
Secondo Kaspersky, ripreso da Ars Technica, BleepingComputer e The Hacker News, DAEMON Tools è finito dentro una compromissione della supply chain: alcune versioni Windows del celebre software per montare immagini disco sono state distribuite già trojanizzate dal canale ufficiale. Non il mirror losco trovato al terzo risultato Google. Il sito vero. Quello che dovrebbe essere la parte tranquilla della storia. Spoiler: non lo era.
La finestra temporale è il dettaglio che fa male: Kaspersky dice che gli installer compromessi circolavano dal 8 aprile 2026 ed erano ancora un problema al momento della pubblicazione del report. Le versioni coinvolte vanno dalla 12.5.0.2421 alla 12.5.0.2434. Tradotto: per quasi un mese, installare un tool normalissimo poteva significare anche invitare in casa un backdoor con le scarpe sul divano.
Il punto non è solo “c’è malware”, che ormai è la sigla di apertura di qualunque giornata online. Il punto è come ci è arrivato: gli installer risultavano firmati digitalmente con certificati degli sviluppatori. Cioè avevano il timbro di fiducia che di solito serve a tranquillizzare utenti, antivirus pigri e reparti IT che hanno già abbastanza ticket aperti. È il cyber-equivalente di un ladro che entra con badge, portapranzo e “buongiorno” convincente.
Kaspersky ha identificato binari modificati — tra cui DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe — capaci di attivare il backdoor all’avvio. Il primo stadio raccoglieva dati di sistema: hostname, indirizzi MAC, processi in esecuzione, software installato, locale del sistema. In pratica faceva l’inventario della vittima, come un Airbnb dell’intrusione.
Poi arriva il pezzo selettivo. Kaspersky parla di migliaia di tentativi d’infezione in oltre 100 Paesi, ma soltanto circa una dozzina di macchine avrebbe ricevuto payload successivi. Questo è il dettaglio che fa passare la storia da “malware sparato nel mucchio” a “qualcuno stava scegliendo dal menu”. Le vittime finite nel secondo giro includevano organizzazioni retail, scientifiche, governative e manifatturiere, con casi osservati in Russia, Bielorussia e Thailandia.
Tra i payload avanzati spunta anche QUIC RAT, un remote access trojan visto almeno su una macchina di un istituto educativo russo. Supporto a protocolli multipli, iniezione in processi tipo notepad.exe e conhost.exe, shellcode in memoria: tutta quella roba che nei film sembra “hackeraggio” e nella realtà significa “buona fortuna al team incident response, ragazzi”.
The Hacker News riporta anche la risposta di AVB Disc Soft: l’azienda dice di trattare la questione con massima priorità, di stare valutando e correggendo il problema, ma di non poter confermare tutti i dettagli specifici del report. Formula elegante, molto corporate: “abbiamo visto l’incendio, stiamo cercando l’estintore, vi aggiorniamo quando il fumo sarà più fotogenico”.
La morale, purtroppo, è noiosa e quindi vera: la supply chain è il posto dove la fiducia va a farsi hackerare. Puoi educare gli utenti a non cliccare sul PDF “fattura_urgente.exe”, ma se il malware arriva dentro un installer ufficiale, firmato, scaricato dal vendor, siamo in un’altra categoria di disagio. Qui non basta dire “stai attento”: serve verificare versioni, isolare macchine sospette, controllare gli indicatori di compromissione e accettare che anche il software “normale” ormai può avere una seconda vita da cavallo di Troia con changelog.
Fonti:
Commenti (0)
Moderazione umana, firma anonima accettata. Per favore, niente insulti né maiuscole compulsive.
Ancora nessun commento.