Versões do DAEMON Tools Lite para Windows distribuídas pelo site legítimo executavam implante que buscava comandos externos, baixava cargas adicionais e selecionava poucas vítimas para backdoor posterior.
| Componente | Instaladores e componentes executáveis do DAEMON Tools Lite para Windows, com versões comprometidas entre 12.5.0.2421 e 12.5.0.2434. |
| Vetor | Distribuição por instaladores oficiais assinados digitalmente e baixados do site legítimo do fornecedor, com ativação de binários adulterados durante a inicialização do sistema ou execução do software. |
| Impacto | Execução de comandos via cmd.exe, coleta de informações do sistema, download de executáveis adicionais, execução de shellcode em memória e implantação seletiva de backdoor, incluindo QUIC RAT em pelo menos uma vítima observada. |
| Prioridade | Atualizar para DAEMON Tools Lite 12.6.0.2445 ou superior, isolar hosts com versões afetadas, remover versões suspeitas, executar varredura completa e revisar telemetria de rede, endpoint e inicialização. |
| Versões | O comprometimento foi observado a partir de 8 de abril de 2026; a versão 12.6.0.2445, lançada em 5 de maio de 2026, não inclui o comportamento malicioso relatado. |
| Artefatos | Domínio env-check.daemontools[.]cc, processo cmd.exe, binários envchk.exe, cdg.exe e cdg.tmp, além de injeção em notepad.exe e conhost.exe. |
| Protocolos | A infraestrutura e os implantes associados usam canais como HTTP, UDP, TCP, WSS, QUIC, DNS e HTTP/3. |
| Escopo | A versão para Windows foi afetada; o fornecedor informou que a ocorrência ficou limitada à edição gratuita DAEMON Tools Lite e que DAEMON Tools Pro e DAEMON Tools Ultra não foram identificados como afetados. |
O incidente envolve um comprometimento de cadeia de suprimentos no DAEMON Tools Lite, no qual instaladores oficiais para Windows passaram a incluir componentes adulterados capazes de acionar uma cadeia de execução maliciosa após a instalação. O ponto mais relevante para defesa é que o vetor não dependia de phishing, exploração remota direta ou download em repositório desconhecido: usuários obtinham o software a partir do canal legítimo do fornecedor, com instaladores assinados por certificados vinculados aos desenvolvedores do produto. Essa condição reduz a eficácia de controles baseados apenas em reputação do domínio, assinatura do arquivo ou confiança no fornecedor, porque o fluxo inicial se mistura ao processo normal de instalação de uma aplicação popular de montagem de imagens de disco.
As versões identificadas como comprometidas vão de 12.5.0.2421 a 12.5.0.2434, com início observado em 8 de abril de 2026. A atividade ainda estava ativa no momento da divulgação técnica inicial, e a correção foi disponibilizada na versão 12.6.0.2445, publicada em 5 de maio de 2026. O impacto não é apenas a presença de um instalador trojanizado: os componentes alterados acionam um implante quando executados, geralmente durante a inicialização do sistema, fazem uma requisição externa para recuperar comandos e usam cmd.exe para orquestrar o download e a execução de cargas adicionais. A telemetria disponível indicou milhares de tentativas de infecção em mais de 100 países, incluindo Brasil, mas a entrega de backdoors posteriores ocorreu em um conjunto muito menor de máquinas, o que aponta para filtragem de vítimas após o acesso inicial.
A cadeia começa com a instalação de uma versão afetada do DAEMON Tools Lite para Windows. Após a instalação, componentes executáveis do produto são executados pelo próprio fluxo operacional da aplicação ou durante a inicialização do sistema. Quando um desses binários adulterados é carregado, o implante embutido inicia comunicação de saída por HTTP com o domínio env-check.daemontools[.]cc, registrado em 27 de março de 2026. A finalidade da requisição é obter um comando de shell a ser executado localmente por meio de cmd.exe. Esse desenho cria uma primeira camada de controle flexível: em vez de carregar toda a funcionalidade maliciosa de imediato, o binário comprometido busca instruções dinâmicas e permite que o operador decida quais cargas entregar em cada host.
Entre os executáveis observados na cadeia estão envchk.exe, cdg.exe e cdg.tmp. O arquivo envchk.exe é um binário .NET voltado à coleta ampla de informações do sistema, etapa compatível com triagem de ambiente e seleção de alvos. O par cdg.exe e cdg.tmp atua de forma complementar: cdg.exe funciona como carregador de shellcode, descriptografa o conteúdo de cdg.tmp e inicia um backdoor minimalista capaz de contatar servidor remoto para baixar arquivos, executar comandos de shell e rodar shellcode diretamente na memória. Esse modelo reduz a quantidade de artefatos persistentes necessários em disco e dificulta análise baseada apenas em arquivos estáticos.
A etapa posterior inclui um trojan de acesso remoto identificado como QUIC RAT, registrado contra uma vítima educacional na Rússia. O malware associado suporta vários protocolos de comando e controle, incluindo HTTP, UDP, TCP, WSS, QUIC, DNS e HTTP/3, ampliando as opções de comunicação em redes com controles parciais de saída. Também há capacidade de injetar cargas em processos legítimos como notepad.exe e conhost.exe, o que pode mascarar execução maliciosa dentro de processos conhecidos do Windows. A atribuição permanece limitada: há indícios linguísticos e de artefatos compatíveis com um operador de língua chinesa, mas não há vínculo confirmado com um grupo nomeado.
A superfície principal é composta por estáções Windows que instalaram DAEMON Tools Lite em versões afetadas durante o período de comprometimento. A edição para macOS não foi indicada como comprometida, e o fornecedor delimitou a ocorrência à versão gratuita DAEMON Tools Lite, sem confirmação de impacto nas edições pagas. Para equipes corporativas, o risco se concentra em endpoints de usuários, máquinas administrativas e ambientes onde ferramentas utilitárias são permitidas sem empacotamento interno, sem validação de hash por catálogo corporativo ou sem inspeção comportamental após instalação.
A presença do Brasil entre os países com tentativas de infecção observadas torna a verificação relevante para organizações locais que permitem instalação direta de utilitários por usuários finais ou que mantêm imagens de software com DAEMON Tools Lite em estáções legadas. O fato de apenas uma fração pequena dos sistemas infectados receber cargas posteriores não reduz a gravidade operacional: a etapa inicial já estabelece um canal de execução remota condicionado à infraestrutura do operador, e a coleta de informações por envchk.exe pode ser usada para decidir se o ambiente merece progressão. Setores citados na entrega seletiva de backdoors incluem varejo, pesquisa, governo e manufatura em Rússia, Belarus e Tailândia, demonstrando interesse por ambientes corporativos e institucionais.
A exposição também se estende a controles de confiança de software. Instaladores assinados e hospedados no domínio legítimo do fornecedor podem atravessar listas de permissão, ferramentas de gestão de pacotes, caches internos e políticas de EDR menos restritivas. Organizações que redistribuíram o instalador comprometido por compartilhamentos internos, portais de autosserviço, servidores de software ou imagens padrão precisam tratar esses pontos como possíveis multiplicadores da infecção, mesmo que nenhum alerta de malware tenha sido disparado no momento do download.
- Endpoints Windows com DAEMON Tools Lite entre
12.5.0.2421e12.5.0.2434. - Máquinas que baixaram ou instalaram DAEMON Tools Lite gratuito a partir de 8 de abril de 2026 e antes da atualização
12.6.0.2445. - Repositórios internos, caches de instaladores, imagens corporativas e ferramentas de distribuição que possam ter armazenado instaladores afetados.
- Ambientes nos quais
cmd.exe,notepad.exeeconhost.exeexecutam com permissões de usuário e acesso irrestrito à internet.
A investigação deve começar pelo inventário de software e pela linha do tempo de instalação. Hosts com DAEMON Tools Lite dentro do intervalo afetado precisam ser correlacionados com eventos de criação de processo, inicialização automática, conexões de saída e downloads executados por processos filhos. Um padrão relevante é a execução de cmd.exe iniciada a partir de diretórios associados ao DAEMON Tools ou a partir de binários do produto, seguida por criação de arquivos executáveis incomuns, chamadas de rede para domínios externos e execução de processos do Windows que normalmente não deveriam carregar shellcode nem atuar como contêiner de payload.
No endpoint, procure envchk.exe, cdg.exe e cdg.tmp, criação ou execução desses arquivos em diretórios temporários ou próximos ao caminho de instalação do software, além de anomalias de memória em notepad.exe e conhost.exe. Como parte da cadeia executa shellcode em memória, a ausência de arquivo malicioso persistente não encerra a investigação. Telemetria de EDR com eventos de injeção, criação remota de thread, alteração de proteção de memória, carregamento incomum de módulos e execução de comandos por cmd.exe deve ser priorizada. Em rede, filtre requisições para env-check.daemontools[.]cc e para destinos acionados logo depois de comandos de shell ou downloads de executáveis.
A análise de proxy, DNS e firewall deve cobrir o período a partir de 8 de abril de 2026, com atenção a hosts que resolveram o domínio de comando, tentaram conexões por protocolos menos comuns em estáções de trabalho ou alternaram entre HTTP, QUIC, DNS e HTTP/3 em janelas próximas. Em ambientes com inspeção TLS limitada, metadados de conexão ainda podem revelar volume, destino, sequência temporal e processo originador. A caça também deve incluir pipelines de distribuição: se o instalador foi armazenado em compartilhamento interno, servidor de atualização ou ferramenta de gestão, os logs desses sistemas ajudam a identificar quais usuários receberam o pacote comprometido.
- Resolução DNS ou conexão para
env-check.daemontools[.]cc. - Criação de processo
cmd.exepor binários do DAEMON Tools ou execução de comandos logo após inicialização do sistema. - Presença ou execução de
envchk.exe,cdg.exeecdg.tmp. - Injeção, alocação de memória executável ou comportamento anômalo em
notepad.exeeconhost.exe. - Instalação de DAEMON Tools Lite com versões
12.5.0.2421a12.5.0.2434em estáções Windows.
A resposta deve priorizar contenção de endpoints com versões afetadas antes de assumir que a atualização remove todo o risco. Máquinas com DAEMON Tools Lite no intervalo vulnerável devem ser isoladas da rede ou colocadas em segmento restrito enquanto passam por varredura de EDR e antivírus, coleta de artefatos e revisão de processos persistentes. A versão comprometida deve ser removida, e a instalação só deve ser refeita com DAEMON Tools Lite 12.6.0.2445 ou posterior, baixado novamente do canal oficial após limpeza de caches internos. Se a organização redistribuiu o instalador, remova os pacotes antigos de portais, compartilhamentos, ferramentas de software deployment e imagens de sistema.
A contenção precisa incluir bloqueio e investigação do domínio env-check.daemontools[.]cc, além de busca por conexões correlacionadas que tenham ocorrido após a resposta do servidor de comando. Como a cadeia permite download de payloads adicionais, execute aquisição de evidências antes de apagar arquivos quando houver suspeita forte de comprometimento. Revise contas de usuário usadas nos hosts afetados, sessões ativas, credenciais armazenadas, tokens de aplicações locais e acesso a compartilhamentos, especialmente quando o endpoint pertencer a equipe administrativa, engenharia, pesquisa, governo ou manufatura. Em casos com indícios de QUIC RAT ou execução de shellcode em memória, trate a máquina como comprometida e considere reinstalação controlada a partir de imagem confiável.
Depois da remediação imediata, a organização deve fortalecer o controle de cadeia de suprimentos para software de terceiros. Isso inclui manter catálogo interno de hashes aprovados, registrar origem e data de obtenção dos instaladores, bloquear execução de utilitários não empacotados, validar alterações de assinatura e aplicar regras comportamentais para instaladores que criam processos de shell, executam downloads ou iniciam comunicação externa inesperada. Para aplicações permitidas por necessidade operacional, o monitoramento deve considerar o comportamento pós-instalação, não apenas reputação do arquivo inicial. A revisão do incidente também deve verificar se ferramentas de backup, inventário e gestão de patches retiveram cópias afetadas, porque esses repositórios podem reinstalar versões comprometidas mesmo depois de o fornecedor publicar correção.
- Atualizar DAEMON Tools Lite para
12.6.0.2445ou superior e remover versões12.5.0.2421a12.5.0.2434. - Isolar hosts afetados, executar varredura completa e coletar eventos de processo, rede, DNS e memória antes de limpeza destrutiva.
- Bloquear
env-check.daemontools[.]cce investigar conexões subsequentes iniciadas porcmd.exeou por binários do DAEMON Tools. - Remover instaladores antigos de caches, compartilhamentos, imagens corporativas e ferramentas de distribuição de software.
- Revisar políticas que confiam automaticamente em software assinado quando o comportamento pós-instalação inclui execução de comandos e download de executáveis.
0 Comentários