Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
La falla está catalogada técnicamente bajo el identificador CWE-506 (Código Malicioso Embebido). Los atacantes comprometieron el entorno de compilación de la empresa desarrolladora AVB Disc Soft y modificaron el código de inicio de tres archivos originales: DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe. Al encenderse la computadora, el servicio infectado crea un proceso en segundo plano que envía peticiones web periódicas a una direccion remota de internet. Este servidor malicioso responde con instrucciones que obligan al sistema a ejecutar comandos de PowerShell para descargar programas espías secundarios en la carpeta temporal de Windows.
Recursos afectados
DAEMON Tools Lite (Distribución Gratuita): Versiones desde la 12.5.0.2421 hasta la 12.5.0.2434 (comercialmente identificadas como versión 12.5.1) en sistemas operativos Microsoft Windows.
Solución
Desinstalar por completo la aplicación gratuita comprometida en su versión 12.5.1.
Descargar e instalar la versión corregida oficial DAEMON Tools Lite 12.6.0.2445 (o posterior) que limpia la cadena de desarrollo.
Indicadores de compromiso
- Archivos ejecutables DTHelper.exe, DiscSoftBusServiceLite.exe y DTShellHlp.exe instalados en el sistema con marcas de tiempo correspondientes al rango del 8 de abril al 5 de mayo de 2026.
- Ejecución de herramientas de consola de comandos del sistema (cmd.exe o powershell.exe) iniciadas directamente por los procesos de DAEMON Tools.
- Creación de entradas de inicio automático en el registro, tareas programadas atípicas o servicios de sistema modificados que apunten a los ejecutables en la ruta de instalación de la aplicación.
- Conexiones HTTP GET periódicas y repetitivas de fondo iniciadas por los procesos de la aplicación hacia servidores externos no habituales.
- Escritura y ejecución automática de binarios ejecutables nuevos (.exe) dentro de los directorios temporales del sistema (%TEMP% o C:\Windows\Temp\) iniciada por el software comprometido.
Recomendaciones
- Realizar búsquedas centralizadas en todos los sistemas de la organización para identificar versiones del emulador que se encuentren dentro del rango comprometido, priorizando la revisión por fecha de instalación.
- Configurar políticas en las herramientas de detección de endpoints (EDR) para generar alertas inmediatas o bloquear la ejecución si procesos firmados de terceros intentan invocar consolas de comandos o realizar actividades de reconocimiento del sistema.
- Implementar una política obligatoria de cambio de contraseñas y tokens de acceso en cualquier equipo que haya ejecutado el instalador afectado.
- Limitar los privilegios de instalación a los usuarios finales en los entornos corporativos para evitar la implementación autónoma de programas no homologados.
- No omitir las alertas de seguridad ni confiar ciegamente en un instalador basándose únicamente en la validez de su firma digital, ya que esta pudo ser comprometida en el origen (ataque a la cadena de suministro).