DAEMON Tools infetto: installer ufficiale compromesso da aprile, backdoor invisibile sui PC

Un installer compromesso di DAEMON Tools integra una backdoor invisibile. Analisi tecnica, funzionamento e rischi per utenti e reti aziendali. L'attacco è ancora in corso!
Michele Nasi
Pubblicato il 5 mag 2026
DAEMON Tools infetto: installer ufficiale compromesso da aprile, backdoor invisibile sui PC

Un software diffuso e apparentemente innocuo può trasformarsi in un vettore di compromissione sofisticato quando gli aggressori riescono ad alterare la catena di distribuzione (supply chain). Questo tipo di attacchi sono purtroppo sempre più comuni: l’ultimo a cadere, in ordine cronologico, è il noto software DAEMON Tools, utilità nota per l’attivazione di unità virtuali utili al montaggio del contenuto di un ampio ventaglio di immagini disco.

Il fatto è che l’utente finale difficilmente sospetta che un installer firmato o distribuito tramite canali apparentemente affidabili possa contenere malware: la fiducia nella provenienza del software diventa l’anello debole.

Come rivela l’analisi pubblicata da Kaspersky, il caso DAEMON Tools dimostra che un’applicazione legittima può veicolare una componente malevolo senza alterare in modo evidente il comportamento principale.

DAEMON Tools: distribuzione compromessa e vettore iniziale

L’analisi evidenzia che la diffusione del malware avviene attraverso installer modificati del software. Non parliamo di crack o versioni pirata: il problema riguarda gli stessi pacchetti distribuiti attraverso il sito ufficiale.

I ricercatori di Kaspersky sottolineano che i programmi di installazione di DAEMON Tools risultano infetti da un trojan a partire dall’8 aprile 2026.

In particolare, la società ha identificato il componente malevolo nelle versioni di DAEMON Tools comprese tra la release 12.5.0.2421 e la 12.5.0.2434. Al momento della stesura di questo articolo, l’attacco è ancora attivo.

Kaspersky ha contattato AVB Disc Soft, la società sviluppatrice di DAEMON Tools, affinché siano intraprese azioni per porre rimedio alle conseguenze dell’attacco (l’autore dell’operazione sembra essere di lingua cinese).

Dal punto di vista tecnico, il loader malevolo si aggancia a componenti del programma che gestiscono operazioni di basso livello, così da mascherare la propria attività. Non altera l’interfaccia utente né introduce comportamenti visibili; l’utente continua a utilizzare DAEMON Tools senza percepire anomalie. Proprio questa invisibilità rappresenta uno dei tratti più pericolosi della campagna.

Architettura della backdoor e meccanismi interni

Una volta eseguito, il codice malevolo installa una backdoor persistente che comunica con un server remoto controllato dagli attaccanti.

Il canale di comunicazione utilizza protocolli standard, spesso HTTP o HTTPS, con richieste che imitano traffico legittimo: un’accortezza che rende più difficile distinguere le comunicazioni malevole dal traffico normale.

Un dettaglio tecnico rilevante riguarda la cifratura del traffico: in alcuni casi, il malware utilizza una codifica semplice, non sempre robusta, ma sufficiente a evitare analisi superficiali. In altri scenari, il traffico passa attraverso HTTPS standard, sfruttando certificati validi per confondersi con il traffico legittimo.

Il malware implementa funzioni tipiche di un remote access trojan (RAT): esecuzione di comandi arbitrari, raccolta di informazioni sul sistema, download ed esecuzione di payload aggiuntivi. In alcuni campioni analizzati, la backdoor sfrutta tecniche di offuscamento per nascondere le stringhe e le configurazioni interne, complicando il lavoro di reverse engineering.

Interessante la gestione della persistenza: il codice modifica chiavi di registro e utilizza servizi di sistema per garantirsi l’avvio automatico. Non si osservano tecniche particolarmente innovative, ma l’integrazione con un software legittimo aumenta l’efficacia complessiva.

File malevoli installati da DAEMON Tools

Kaspersky spiega che gli aggressori sono riusciti a compromettere i seguenti file binari all’interno delle installazioni del software DAEMON Tools:

  • DTHelper.exe
  • DiscSoftBusServiceLite.exe
  • DTShellHlp.exe

I file si trovano nella directory in cui è installato DAEMON Tools, ad esempio C:\Program Files\DAEMON Tools Lite: l’aspetto particolarmente rilevante è che i file sono firmati digitalmente dallo sviluppatore di DAEMON Tools, AVB Disc Soft.

Ogni volta che uno di questi file binari viene avviato, cosa che avviene all’avvio del sistema, si attiva la backdoor che, attraverso un thread dedicato in Windows, invia richieste GET verso un URL che “scimmiotta” (typosquatting) il nome di dominio ufficiale di DAEMON Tools.

Nello specifico, il nome di dominio ufficiale contiene un trattino; quello usato per le attività malevole non ce l’ha e risulta registrato il 27 marzo 2026, a distanza di appena una settimana dall’avvio dell’aggressione contro gli utenti di DAEMON Tools.

Il file d’installazione di DAEMON Tools Lite ancora scaricabile, ad oggi, sul sito ufficiale ha la firma SHA-256 riportata su VirusTotal. È esattamente la stessa che indica Kaspersky nella classificazione delle versioni infette del programma. Le altre release contenenti la backdoor sono riportate in calce all’analisi (Indicators of compromise).

Implicazioni per la sicurezza e scenari di rischio

Un’infezione di questo tipo apre la porta a diversi scenari. Il più immediato riguarda il furto di dati: credenziali, documenti, informazioni di sistema; ma c’è anche un rischio meno evidente come l’utilizzo della macchina compromessa come punto di accesso per ulteriori attacchi, sia verso l’esterno che verso l’interno.

In ambito aziendale la presenza di software non controllato rappresenta un problema serio: un installer compromesso – come nel caso di DAEMON Tools – può bypassare molte difese se eseguito con privilegi elevati. Proprio per questo motivo, il malware che arriva sui sistemi con DAEMON Tools potrebbe essere sfruttato per attivare movimenti laterali nelle reti..

Mitigazioni e contromisure pratiche

Dal punto di vista tecnico, soluzioni EDR (endpoint detection and response) aiutano a individuare comportamenti anomali, come connessioni sospette verso server remoti o modifiche non autorizzate al sistema. Anche il monitoraggio del traffico di rete gioca un ruolo chiave: pattern ricorrenti verso domini sconosciuti possono indicare la presenza di una backdoor.

Come ulteriore strategia di difesa, è utile limitare i privilegi degli utenti e implementare criteri di rigorosi sul versante applicativo, come whitelist di software autorizzato. Meno libertà rispetto ai software installabili, significa una superficie di attacco decisamente meno ampia.

Anche il miglior sistema di difesa può fallire, tuttavia, se chi utilizza il computer non riconosce i segnali di rischio. La formazione degli utenti e la spinta sulla cultura della sicurezza riducono significativamente le probabilità di incidenti.

Ti consigliamo anche

Edge sotto accusa: vulnerabilità lascia password utenti esposte
Vulnerabilità

Edge sotto accusa: vulnerabilità lascia password utenti esposte
L'AI può ricostruire la tua vita privata a partire da ads che visualizzi online
Sicurezza

L'AI può ricostruire la tua vita privata a partire da ads che visualizzi online
VPN in vacanza per una connessione sicura: PrivadoVPN a 1,11€
Offerte

VPN in vacanza per una connessione sicura: PrivadoVPN a 1,11€
CVE-2026-31431: perché Linux Copy Fail preoccupa
Business

CVE-2026-31431: perché Linux Copy Fail preoccupa
Link copiato negli appunti