Троянски инсталатор, официален сайт и глобално разпространение – класически сценарий с модерни последствия

Компанията Disc Soft Limited потвърди сериозен инцидент със сигурността, при който популярният софтуер DAEMON Tools Lite е бил компрометиран в рамките на supply chain атака. Засегната е безплатната версия на продукта, като атаката е позволила разпространението на троянски инсталатори чрез официалния сайт на компанията.

Какво се е случило?

Според официалната информация, атакуващите са успели да осъществят неоторизиран достъп до инфраструктурата на Disc Soft, като са компрометирали build средата. В резултат на това са били публикувани заразени инсталационни пакети.

Засегнати са версии на DAEMON Tools Lite в диапазона:

• 12.5.0.2421 до 12.5.0.2434
• Основно безплатната версия (free edition)

Компрометираната версия 12.5.1 е била достъпна за изтегляне от 8 април, което превръща инцидента в класически пример за supply chain атака с легитимен канал за разпространение.

Как работи атаката?

Анализ на Kaspersky разкрива многоетапен зловреден механизъм:

Първи етап – инфостийлър:

• Събира системна информация (hostname, MAC адрес, процеси, инсталиран софтуер)
• Изпраща данните към сървъри на атакуващите
• Позволява профилиране на жертвата

Втори етап – бекдор:

• Активира се при стартиране на системата
• Позволява изпълнение на команди
• Изтегля файлове и изпълнява код директно в паметта

В някои случаи е наблюдаван и по-сложен зловреден софтуер – QUIC RAT, който позволява:

• Инжектиране на код в легитимни процеси
• Комуникация през различни протоколи
• Дългосрочно присъствие в системата

Мащаб на компрометирането

Атаката има глобален обхват, като са засегнати:

• Организации от сектори като търговия, наука, производство и държавна администрация
• Потребители от държави като Русия, Бразилия, Германия, Франция, Испания, Китай и други

Общо става дума за хиляди компрометирани системи в над 100 държави, което подчертава сериозността на инцидента.

Реакцията на Disc Soft

От компанията заявяват, че:

• Проблемът е ограничен само до безплатната версия
• Платените версии (DAEMON Tools Pro и Ultra) не са засегнати
• Инфраструктурата вече е защитена

В рамките на по-малко от 12 часа след откриването на проблема е пусната нова версия:

• DAEMON Tools Lite 12.6 – без зловреден код

Какво трябва да направят потребителите?

Ако сте изтеглили или инсталирали засегнатата версия:

Незабавни действия:

• Деинсталирайте версия 12.5.1
• Стартирайте пълно сканиране с антивирусен софтуер
• Инсталирайте последната версия (12.6) от официалния сайт

Disc Soft вече е премахнала компрометираните файлове и показва предупреждение към потребителите.

По-широкият контекст: възходът на supply chain атаките

Този инцидент отново поставя фокус върху една от най-опасните тенденции в киберсигурността – атаки чрез доверени софтуерни канали.

Когато зловреден код се разпространява чрез:

• Официални сайтове
• Дигитално подписани инсталатори
• Легитимни продукти

дори добре защитени организации могат да станат жертва.

Компрометирането на DAEMON Tools Lite е пореден сигнал, че сигурността на софтуерната верига за доставки остава критично слабо място. Бързата реакция на Disc Soft ограничава щетите, но случаят ясно показва, че доверието в източника вече не е достатъчно.

За организациите това означава едно – необходимост от допълнителни слоеве защита, включително мониторинг на поведението, zero trust модели и активен контрол върху използвания софтуер.