Троянизирани инсталатори са разпространявали бекдор през официалния сайт

Киберпрестъпници са компрометирали инсталаторите на популярния софтуер DAEMON Tools и от 8 април насам са разпространявали зловреден бекдор чрез официалния сайт на продукта. Според анализ на Kaspersky атаката е засегнала хиляди системи в над 100 държави.

Изследователите подчертават, че макар първоначалната инфекция да е била масова, вторични полезни товари са били доставени само на ограничен брой устройства, което подсказва внимателно подбрана целева операция срещу високоприоритетни организации.

Компрометирани версии на DAEMON Tools

Засегнати са версии на DAEMON Tools от 12.5.0.2421 до 12.5.0.2434, включително файловете:

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

DAEMON Tools е софтуер за Windows, използван за монтиране на виртуални дискови образи. Макар популярността му да е намаляла спрямо началото на 2000-те години, той все още се използва в среди, където е необходима работа с виртуални устройства.

Според Kaspersky атаката продължава и към момента.

Как работи заразяването

След изтегляне и стартиране на цифрово подписаните компрометирани инсталатори се активира вграден зловреден код, който осигурява постоянство в системата и зарежда бекдор при стартиране на Windows.

Първият етап представлява базов инфостийлър, който събира информация за системата, включително:

• име на устройството
• MAC адрес
• работещи процеси
• инсталиран софтуер
• локализация на системата

Събраната информация се изпраща към сървърите на атакуващите за профилиране на жертвите.

Втори етап и QUIC RAT

На избрани системи се доставя втори етап – лек бекдор, способен да:

• изпълнява команди
• изтегля файлове
• стартира код директно в паметта

В поне един случай, насочен към руска образователна институция, е бил внедрен по-усъвършенстван малуер, идентифициран като QUIC RAT. Той поддържа множество комуникационни протоколи и може да инжектира код в легитимни процеси.

Сред засечените жертви има организации от секторите:

• търговия
• наука
• държавна администрация
• производство

в Русия, Беларус и Тайланд.

Вероятна връзка с китайскоговорящи атакуващи

Kaspersky не приписва официално атаката на конкретна група, но според открити низове в кода на първия етап има индикации, че атакуващите вероятно са китайскоговорящи.

Изследователите определят операцията като особено сложна supply chain атака, успяла да остане незабелязана близо месец.

Supply chain атаките стават постоянна тенденция

Случаят с DAEMON Tools е поредният пример за ескалиращата вълна от supply chain атаки през 2026 г. Подобни компрометирания вече засегнаха проекти и продукти като eScan, Notepad++, CPU-Z и други софтуерни екосистеми.

Атаките срещу кодови хранилища, пакети и разширения също се увеличават, като кампаниите срещу Trivy, Checkmarx и Glassworm показват колко сериозен става рискът за веригата на доставки в софтуерната индустрия.