Một chiến dịch tấn công chuỗi cung ứng vừa được phát hiện đã nhắm vào phần mềm DAEMON Tools Lite, khiến các tập tin cài đặt chính thức bị cài cắm mã độc. Theo báo cáo từ công ty an ninh mạng Kaspersky, tin tặc đã lợi dụng chính website chính thức của phần mềm để phân phối các chương trình cài đặt có mã độc.

Phiên bản DAEMON Tools Lite mới nhất tại trang web của nhà phát triển Disc Soft.

Các nhà nghiên cứu gồm Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko và Anton Kargin cho biết những tập tin cài đặt này được ký bằng chứng chỉ số hợp lệ của nhà phát triển Disc Soft, khiến người dùng khó phát hiện. Sự việc được xác định bắt đầu từ ngày 8-4-2026, ảnh hưởng đến các phiên bản DAEMON Tools Lite từ 12.5.0.2421 đến 12.5.0.2434 trên hệ điều hành Windows (phiên bản macOS không bị ảnh hưởng).

DAEMON Tools Lite là một tiện ích cho phép người dùng ánh xạ các tập tin ảnh đĩa thành các ổ đĩa ảo. Phần mềm này từng rất phổ biến vào những năm 2000, đặc biệt trong cộng đồng game thủ và người dùng nâng cao. Tuy nhiên, hiện nay DAEMON Tools Lite chủ yếu chỉ còn được sử dụng trong những môi trường cần quản lý ổ đĩa ảo.

Lây nhiễm diện rộng nhưng tấn công có chọn lọc

Kaspersky ghi nhận hàng ngàn nỗ lực lây nhiễm tại hơn 100 quốc gia, bao gồm Nga, Brazil, Thổ Nhĩ Kỳ, Tây Ban Nha, Đức, Pháp, Ý và Trung Quốc. Tuy nhiên, chỉ khoảng hơn chục hệ thống thực sự bị cài đặt cửa hậu (backdoor) giai đoạn hai, cho thấy kẻ tấn công có chủ đích rõ ràng.

Các mục tiêu bị nhắm đến thuộc nhiều lĩnh vực như bán lẻ, khoa học, chính phủ và sản xuất tại Nga, Belarus và Thái Lan. Một trong các phương thức được sử dụng là trojan truy cập từ xa QUIC RAT, cho phép kiểm soát hệ thống của nạn nhân. Đáng chú ý, có một biến thể viết bằng C++ được ghi nhận đối với duy nhất một tổ chức giáo dục tại Nga.

Nguy cơ từ phần mềm “đáng tin cậy” ngày càng gia tăng

Theo Kaspersky, đây là ví dụ điển hình cho thấy các cuộc tấn công chuỗi cung ứng có thể vượt qua hệ thống phòng thủ truyền thống, do người dùng mặc định tin tưởng phần mềm được ký số và tải từ nguồn chính thức. Chính vì vậy, chiến dịch này đã âm thầm hoạt động gần một tháng trước khi bị phát hiện.

Sự cố này tiếp tục nối dài danh sách các vụ tấn công chuỗi cung ứng phần mềm trong những tháng đầu năm 2026, sau các sự kiện liên quan đến eScan hồi tháng 1, Notepad++ hồi tháng 2 và CPUID hồi tháng 4, cho thấy xu hướng tấn công ngày càng tinh vi và khó lường trong lĩnh vực an ninh mạng.

Khuyến cáo người dùng

Nếu đã tải hoặc cài đặt DAEMON Tools Lite phiên bản 12.5.1 (bản miễn phí) trong thời gian bị tấn công, người dùng nên:

- Gỡ cài đặt phần mềm.

- Quét toàn bộ hệ thống bằng phần mềm bảo mật uy tín.

- Tải và cài đặt phiên bản mới nhất (12.6) từ website chính thức.

Các phiên bản khác như DAEMON Tools Ultra, Pro hoặc bản trả phí của DAEMON Tools Lite không bị ảnh hưởng và vẫn có thể sử dụng bình thường.

LÊ PHI (Theo Bleepingcomputer, The Hacker News)