Nuestros expertos han descubierto un ataque a la cadena de suministro a gran escala a trav\u00e9s de DAEMON Tools, un software para emular unidades \u00f3pticas. Los atacantes lograron inyectar c\u00f3digo malicioso en los instaladores del software, y todos los archivos ejecutables troyanizados est\u00e1n firmados con una firma digital v\u00e1lida de AVB Disc Soft, el desarrollador de DAEMON Tools. La versi\u00f3n maliciosa del programa circula desde el 8 de abril de 2026. En el momento de redactar este texto, el ataque sigue en curso. Los investigadores de Kaspersky consideran que se trata de un ataque dirigido.<\/p>\n
Una vez que el software troyanizado se instala en el equipo de la v\u00edctima, se ejecuta un archivo malicioso cada vez que se inicia el sistema, que env\u00eda una solicitud a un servidor de comando y control. En respuesta, el servidor puede enviar una orden para descargar y ejecutar cargas \u00fatiles maliciosas adicionales.<\/p>\n
En primer lugar, los atacantes despliegan un recolector de informaci\u00f3n que recopila la direcci\u00f3n MAC, el nombre de host, el nombre de dominio DNS, las listas de procesos en ejecuci\u00f3n y del software instalado, y la configuraci\u00f3n de idioma. A continuaci\u00f3n, el malware env\u00eda esta informaci\u00f3n al servidor de comando y control.<\/p>\n
En algunos casos, en respuesta a la informaci\u00f3n recopilada, el servidor de comando env\u00eda una puerta trasera minimalista a la m\u00e1quina de la v\u00edctima. Es capaz de descargar cargas \u00fatiles maliciosas adicionales, ejecutar comandos de shell y ejecutar m\u00f3dulos de shellcode en memoria.<\/p>\n
La puerta trasera puede utilizarse para desplegar un implante m\u00e1s sofisticado denominado QUIC RAT. Es compatible con varios protocolos de comunicaci\u00f3n con el servidor de comando y control y es capaz de inyectar cargas \u00fatiles maliciosas en los procesos notepad.exe y conhost.exe.<\/p>\n
Puede encontrar informaci\u00f3n t\u00e9cnica m\u00e1s detallada, junto con indicadores de compromiso, en el art\u00edculo de los expertos en el blog Securelist<\/a>.<\/p>\n Desde principios de abril se han detectado varios miles de intentos de instalar cargas \u00fatiles maliciosas adicionales a trav\u00e9s del software DAEMON Tools infectado. La mayor\u00eda de los dispositivos infectados pertenec\u00edan a usuarios dom\u00e9sticos, pero aproximadamente el 10% de los intentos de instalaci\u00f3n se detectaron en sistemas que operan en organizaciones. Geogr\u00e1ficamente, las v\u00edctimas se distribuyeron por alrededor de un centenar de pa\u00edses y territorios. La mayor\u00eda de las v\u00edctimas se encontraban en Rusia, Brasil, Turqu\u00eda, Espa\u00f1a, Alemania, Francia, Italia y China.<\/p>\n Con mayor frecuencia, el ataque se limit\u00f3 a la instalaci\u00f3n de un recolector de informaci\u00f3n. La puerta trasera infect\u00f3 solo una docena de equipos en organismos gubernamentales, instituciones cient\u00edficas y organizaciones manufactureras, as\u00ed como en comercios minoristas de Rusia, Bielorrusia y Tailandia.<\/p>\n El c\u00f3digo malicioso se detect\u00f3 en las versiones de DAEMON Tools que van de la 12.5.0.2421 a la 12.5.0.2434. Los atacantes comprometieron los archivos DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe, que se instalan en el directorio principal de DAEMON Tools.<\/p>\n Si se utiliza el software DAEMON Tools en su equipo (o en cualquier otro lugar de su organizaci\u00f3n), nuestros expertos recomiendan revisar minuciosamente los equipos en los que est\u00e1 instalado en busca de cualquier actividad inusual a partir del 8 de abril.<\/p>\n Adem\u00e1s, recomendamos utilizar soluciones de seguridad confiables en todos los equipos\u00a0 para el hogar<\/a> y corporativos<\/a> que se usen para acceder a internet. Nuestras soluciones protegen con \u00e9xito a los usuarios de todo el malware utilizado en el ataque a la cadena de suministro a trav\u00e9s de DAEMON Tools.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Un ataque dirigido a la cadena de suministro mediante un software popular para montar im\u00e1genes de disco.<\/p>\n","protected":false},"author":2706,"featured_media":29179,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[5884,34,2352],"class_list":{"0":"post-29178","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataque-a-la-cadena-de-suministro","11":"tag-malware-2","12":"tag-rat"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/29178\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/daemon-tools-supply-chain-attack\/30691\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/25743\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/daemon-tools-supply-chain-attack\/30542\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/daemon-tools-supply-chain-attack\/32085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/daemon-tools-supply-chain-attack\/41798\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/55691\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/daemon-tools-supply-chain-attack\/23879\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/daemon-tools-supply-chain-attack\/33451\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/daemon-tools-supply-chain-attack\/30625\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/daemon-tools-supply-chain-attack\/36200\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/daemon-tools-supply-chain-attack\/36093\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ataque-a-la-cadena-de-suministro\/","name":"ataque a la cadena de suministro"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29178","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=29178"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29178\/revisions"}],"predecessor-version":[{"id":29180,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29178\/revisions\/29180"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/29179"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=29178"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=29178"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=29178"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\u00bfA qui\u00e9nes se dirige el ataque?<\/h2>\n
Qu\u00e9 se infect\u00f3 exactamente<\/h2>\n
\u00bfC\u00f3mo mantenerse protegido?<\/h2>\n