Conecta con nosotros

Noticias

DAEMON Tools está infectado con un troyano e instala puertas traseras

Publicado

el

6 mayo, 2026
DAEMON Tools

Los instaladores de DAEMON Tools, la popular aplicación para manejo de imágenes de disco, están infectados con un troyano y han introducido una puerta trasera en miles de sistemas que descargaron el producto desde el sitio web oficial, según informa la empresa de ciberseguridad Kaspersky.

Todo indica que se trata de un ataque a la cadena de suministro que ha comprometido sus instaladores para distribuir una carga útil maliciosa. El ataque ha provocado miles de infecciones en más de 100 países. Sin embargo, las cargas útiles de segunda fase se desplegaron mínimamente en organizaciones minoristas, científicas, gubernamentales y manufactureras, lo que indicaría un ataque dirigido a objetivos de alto valor.

DAEMON Tools, viejo conocido, hoy infectado

Si llevas tiempo en esto de la informática seguro que has manejado esta aplicación porque fue usada casi como un estándar décadas atrás en el manejo de imágenes de disco. Se trata de archivos en formatos como ISO, IMG, UDF, BIN, NRG y otros, que contienen la estructura y contenidos completos de discos ópticos aunque también se pueden utilizar para almacenar discos duros o SSD enteros. Este tipo de formatos fueron usados masivamente cuando los CD y DVD dominaban el mercado del almacenamiento externo, aunque se siguen usando, por ejemplo para distribuir sistemas operativos y seguramente haya otras aplicaciones del género más eficientes. En Windows te recomendamos WinCDEmu, gratuita y de código abierto.

El informe de Kaspersky señala una situación crítica para estas DAEMON Tools. El ataque se remontaría al 8 de abril y continúa hoy. El software infectado con troyanos incluye versiones de DAEMON Tools desde la 12.5.0.2421 hasta la 12.5.0.2434, específicamente los binarios DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe.

DAEMON Tools

Su funcionamiento es típico. Una vez que los usuarios desprevenidos descargan y ejecutan los instaladores troyanizados con firma digital, activan el código malicioso incrustado en los binarios comprometidos. El código malicioso se instala de forma persistente y activa una puerta trasera al iniciar el sistema. El servidor puede responder con comandos que instruyen al sistema para que descargue y ejecute cargas útiles adicionales.

El malware de primera fase es un programa básico de robo de información que recopila datos del sistema, como el nombre de host, la dirección MAC, los procesos en ejecución, el software instalado y la configuración regional del sistema, y ​​los envía a los atacantes para la elaboración de perfiles de las víctimas. En función de los resultados, algunos sistemas reciben una segunda fase, que consiste en una puerta trasera ligera capaz de ejecutar comandos, descargar archivos y ejecutar código directamente en la memoria.

Kaspersky describe el ataque a la cadena de suministro de DAEMON Tools como una vulneración lo suficientemente sofisticada como para eludir la detección durante casi un mes. No se ha explicado cómo los ciberdelincuentes pudieron llevar a cabo la infección en la cadena de suministro e infectar los instaladores oficiales antes de su distribución. Desde principios de año, se han detectado ataques a la cadena de suministro de software casi todos los meses: eScan en enero, Notepad++ en febrero, CPU-Z en abril y ahora DAEMON Tools.

Obviamente, debes eliminar DAEMON Tools de tu equipo de inmediato y usar aplicaciones alternativas.

Categorías relacionadas:

Editor en MC, MCPRO y MuyCanal. Al día de todas las tecnologías que pueden marcar tendencia en la industria.

Click para comentar

Lo más leído