Обнаружена атака на цепочку поставок, затронувшая популярное ПО для эмуляции оптических приводов DAEMON Tools. Вредоносный код был внедрён в официальные установщики и распространялся через легитимные каналы.
Аналитики Kaspersky сообщили, что заражённые версии распространялись начиная с 8 апреля 2026 года. Под компрометацию попали релизы в диапазоне от 12.5.0.2421 до 12.5.0.2434, при этом атака остаётся активной на момент публикации.
Подмена компонентов установщика
В рамках атаки были изменены несколько ключевых исполняемых файлов:
DTHelper.exe
DiscSoftBusServiceLite.exe
DTShellHlp.exe
Эти компоненты были модифицированы так, чтобы загружать вредоносную нагрузку при установке программы.
Все заражённые файлы подписаны действующей цифровой подписью разработчика, что позволяет им выглядеть легитимно и обходить стандартные механизмы защиты.
Поведение вредоносного кода
Вредоносная версия устанавливает бэкдор с возможностью удалённого управления системой. Он запускается при старте системы и закрепляется в операционной системе благодаря повышенным привилегиям, которые обычно имеет подобное ПО.
Первичная нагрузка собирает информацию о системе, включая MAC-адрес, имя хоста, список процессов, установленное ПО и региональные настройки.
В отдельных случаях атака разворачивается дальше. На ограниченном числе машин злоумышленники вручную устанавливали дополнительные инструменты, включая загрузчики шеллкода и ранее неизвестные трояны удалённого доступа.
Масштаб и цели атаки
По данным телеметрии, зафиксированы тысячи попыток заражения более чем в 100 странах. Около 10% затронутых систем принадлежат организациям.
Подтверждённые случаи целевых атак затронули компании и государственные структуры в России, Беларуси и Таиланде.
Анализ вредоносного кода указывает на возможную связь с группой, использующей китайский язык, однако окончательная атрибуция не подтверждена.
Дополнительные детали атаки
Для управления заражёнными системами использовался домен, зарегистрированный незадолго до начала атаки.
Вредоносная инфраструктура позволяет загружать дополнительные компоненты и расширять функциональность заражения. В некоторых случаях применяются инструменты удалённого администрирования, маскирующиеся под легитимные решения.
Разработчик DAEMON Tools, компания AVB Disc Soft, уведомлена об инциденте и проводит расследование.
Контекст угрозы
Атаки на цепочку поставок позволяют распространять вредоносный код через доверенные источники, что делает их особенно эффективными. Пользователи устанавливают заражённое ПО, не подозревая об угрозе, поскольку оно получено с официального сайта и подписано корректной цифровой подписью.
Источник: HN