Атака на цепочку поставок через DAEMON Tools

Наши эксперты обнаружили масштабную атаку на цепочку поставок через ПО для эмуляции оптического дисковода DAEMON Tools. Злоумышленникам удалось внедрить в установщики ПО вредоносный код, причем троянизированные исполняемые файлы имели валидную цифровую подпись компании AVB Disc Soft, разработчика DAEMON Tools. Вредоносный вариант программы распространяется с 8 апреля 2026 года. На момент написания этого поста атака все еще продолжалась. Исследователи «Лаборатории Касперского» считают, что это целевая атака.

Чем грозит установка вредоносного варианта DAEMON Tools

После установки троянизированного ПО на компьютер жертвы, каждый раз при старте с системы запускается вредоносный файл, отправляющий запрос на командный сервер. В ответ с сервера может прийти команда для загрузки и запуска дополнительной вредоносной нагрузки.

Первым делом злоумышленники разворачивают сборщик информации, который интересуется MAC-адресом, именем хоста, доменным именем DNS, списками запущенных процессов и установленного ПО и языковыми настройками. Зловред отправляет эту информацию на командный сервер.

В ряде случаев, в ответ на собранную информацию, командный сервер присылает на машины жертвы минималистичный бэкдор. Он умеет загружать дополнительную вредоносную нагрузку, выполнять shell-команды и запускать шеллкод-модули в памяти.

Бэкдор может быть использован для развертывания более сложного импланта, получившего название QUIC RAT. Он поддерживает несколько протоколов коммуникации с командным сервером и способен внедрять вредоносную нагрузку в процессы notepad.exe и conhost.exe.

Более подробную техническую информацию вместе с индикаторами компрометации можно найти в статье экспертов на блоге Securelist.

Кого именно атакуют

С начала апреля было зарегистрировано несколько тысяч попыток установки дополнительной вредоносной нагрузки через зараженное ПО DAEMON Tools. Большая часть зараженных устройств принадлежала частным лицам, но примерно 10% попыток установки было зарегистрировано на системах организаций. Географически жертвы были распределены по 100 различным странам и территориям. Большинство жертв находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае.

Чаще всего атака ограничивалась установкой сборщика информации. Бэкдор получил лишь десяток зараженных машин в государственных, научных, производственных организациях, а также в предприятиях, занимающихся розничной торговлей в России, Беларуси и Таиланде.

Что именно было заражено

Вредоносный код был обнаружен в DAEMON Tools начиная с версии 12.5.0.2421 и до 12.5.0.2434. Злоумышленники скомпрометировали файлы DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe, устанавливаемые в основной каталог DAEMON Tools.

Как оставаться в безопасности?

Кроме того, мы рекомендуем использовать надежные защитные решения на всех домашних и корпоративных компьютерах, использующихся для работы с Интернетом. Наши решения успешно защищают пользователей от всего вредоносного ПО, используемого в атаке на цепочку поставок через DAEMON Tools.