DAEMON Tools заражён вредоносным ПО с начала апреля
3 мин
24
Программное обеспечение DAEMON Tools подверглось атаке на цепочку поставок, продолжающейся с 8 апреля 2026 года. Специалисты «Лаборатории Касперского» обнаружили заражение в начале мая. Версии программы для монтирования образов дисков с встроенными вредоносными модулями распространялись через официальный канал загрузки. Заражены оказались версии с 12.5.0.2421 до 12.5.0.2434.
Специалисты выявили тысячи попыток инсталляции вредоносной нагрузки. Случаи заражения зафиксированы на устройствах более чем в 100 странах. Большинство жертв находились в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Бизнесу принадлежит порядка 10% затронутых систем.
Специалисты отметили, что от взлома DAEMON Tools до обнаружения этой атаки прошло около месяца. Организациям необходимо тщательно проверить компьютеры на наличие аномальной активности.
Во вредоносных имплантах выявили артефакты, которые указывают на то, что злоумышленник использует китайский язык. Компания связалась с разработчиком программы AVB Disc Soft для устранения последствий атаки. Злоумышленники скомпрометировали три бинарных файла, находящихся в каталоге установки программы и имеющих цифровую подпись разработчика AVB Disc Soft. Бинарные файлы запускаются при старте компьютера. Каждый запуск активирует бэкдор. Он работает в отдельном потоке и отправляет запросы на вредоносный сервер с адресом, созданным при помощи тайпсквоттинга легитимного доменного имени. Последнее было зарегистрировано 27 марта.
Сервер в ответ на запросы может возвращать команды для загрузки и запуска исполняемой вредоносной нагрузки. Специалисты обнаружили несколько типов таких нагрузок. Одна из них представляет собой сборщик системной информации с отправкой на сервер управления. Эксперты наблюдали попытки его развёртывания на большом количестве заражённых машин
Другая вредоносная нагрузка доставлялась только на небольшое количество машин. Среди дополнительных нагрузок имеется минималистичный бэкдор, периодически отправляющий запросы на адрес сервера управления. Его функциональность включает возможность загрузки файлов, выполнения команд оболочки и запуска модулей в памяти. Этот бэкдор применялся для развёртывания более сложного импланта под названием QUIC RAT, использованного против одной организации в России. Бэкдор поддерживает множество протоколов коммуникации с сервером управления.
