O Brasil é o segundo país mais afetado por um ataque de cadeia de suprimentos. A infecção acontece ao baixar o software Daemon Tools do site oficial, uma ferramenta de virtualização de disco legítima, que foi comprometida nesse ataque. O país concentra 13% dos alvos globais e atinge principalmente pessoas que usam software piratas e rodam jogos antigos – outras vítimas estão no setor corporativo. Veja como se proteger.
De acordo com a telemetria da Kaspersky, o programa infectado começou a ser distribuído em 8 de abril de 2026, e ela afetou as versões do Daemon Tools da 12.5.0.2421 em diante. Após a identificação do caso, o fornecedor reconheceu o problema e lançou uma nova versão do software (12.6.0.2445), que já não apresenta o comportamento malicioso descrito.
Como a ferramenta exige acesso privilegiado ao sistema para funcionar, os usuários geralmente concedem permissões de administrador durante a instalação, momento em que o malware se aproveita para se instalar no sistema operacional.
A análise da Kaspersky mostra que os criminosos alteraram arquivos legítimos do programa para executar o código malicioso e usaram um serviço do próprio Windows para garantir que a ameaça permanecesse ativa no sistema. A análise mostra que 10% dos sistemas afetados pertencem a organizações. Embora o Daemon Tools seja amplamente adotado por consumidores, sua presença em ambientes corporativos expõe as redes empresariais a graves riscos subsequentes.
A distribuição global do ataque abrangeu mais de 100 países, com a Rússia liderando o ranking de infecções, seguida de perto pelo Brasil – que representa 13,23% dos alvos. Outras nações com número elevado de vítimas incluem México, Colombia, Argentina, Peru, Equador e Chile, demonstrando a relevância da ameaça para toda a América Latina.
Em um conjunto limitado de organizações, os pesquisadores identificaram a atuação direta dos atacantes na implantação de um malware adicional, um Trojan de Acesso Remoto (RAT), que permitem o controle total do dispositivo comprometido. Indícios como erros de digitação nos comandos sugerem que essa etapa do ataque é conduzida manualmente e direcionada a alvos específicos.
O ataque reforça uma tendência preocupante: em março de 2026, um estudo da Kaspersky revelou que os ataques à cadeia de suprimentos foram as ciberameaças mais comuns enfrentadas pelas empresas nos 12 meses anteriores; ainda assim, apenas 9% das organizações os classificam como uma preocupação prioritária.
“O fato de o Brasil ser o segundo principal alvo deste ataque é um alerta crítico, especialmente para o ambiente corporativo. A ferramenta comprometida é muito utilizada por equipes de TI e suporte técnico, o que significa que os criminosos estão mirando em profissionais com acesso privilegiado às redes das empresas”, explica Fabio Assolini, Lead Security Researcher da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
“A sofisticação do ataque, que permaneceu discreta por quase um mês, mostra que os criminosos estão explorando a cadeia de suprimentos de software, uma das áreas mais vulneráveis. A recomendação é clara: as empresas precisam verificar imediatamente se o software está instalado em suas redes e isolar as máquinas afetadas para evitar que o ataque se espalhe.”
Uma particularidade desse caso é, uma vez que o malware está no instalador do Daemon Tools, o impacto foi maior entre as pessoas que costumam instalar softwares piratas ou instala/executa jogos antigos — fator que contribuiu para o país estar entre os mais afetados. “O Brasil, notoriamente, é um país com alto índice de pirataria, tanto para games quanto para programas populares, o que também afeta usuários comuns”, reforça Assolini.
Os pesquisadores recomendam que as organizações auditem suas redes em busca da presença do Daemon Tools Lite, isolem os endpoints afetados e monitorem a execução de comandos não autorizados ou movimentação lateral. Para usuários que utilizam a ferramenta para fins pessoais, como para executar emuladores de jogos antigos ou programas piratas, a recomendação é desinstalar imediatamente a aplicação comprometida e executar uma varredura completa do sistema com uma solução de segurança confiável para eliminar quaisquer ameaças.
Para mitigar os riscos associados a este tipo de ameaça, a Kaspersky recomenda as seguintes medidas de segurança para as organizações:
Audite seus fornecedores de software: Antes de autorizar o uso de aplicações de terceiros, avalie o histórico de segurança do fornecedor e verifique sua conformidade com as normas do setor.
Adote protocolos de aquisição rigorosos: Exija auditorias de segurança periódicas para todos os softwares implementados e garanta que as ferramentas utilizadas pelos colaboradores cumpram as políticas de segurança da sua empresa.
Restrinja privilégios de administrador: Implemente o “princípio do menor privilégio”, limitando os direitos de acesso dos usuários. Isso reduz o impacto potencial caso uma aplicação confiável seja comprometida.
Monitore a infraestrutura continuamente: Utilize soluções de Detecção e Resposta Estendidas (XDR. Elas oferecem monitoramento em tempo real para identificar anomalias ou ações não autorizadas originadas de softwares confiáveis.
Atualize seus planos de resposta a incidentes: Garanta que suas estratégias de Segurança contemplem explicitamente as violações na cadeia de suprimentos, com etapas predefinidas para identificar, conter e desconectar rapidamente as aplicações comprometidas dos sistemas internos.
