Sikkerhetsselskapet Kaspersky har avdekket et aktivt angrep mot DAEMON Tools som inneholder en trojaner. Programvaren brukes av millioner til å montere .ISO-filer.
Bakdør aktiveres ved oppstart i farlige versjoner av DAEMON Tools
Angrepet har pågått siden 8. april 2026, og infiserte installasjonsfiler ble distribuert direkte fra den offisielle nettsiden.
Flere versjoner av DAEMON Tools (12.5.0.2421 til 12.5.0.2434) er rammet av en trojaner. Filene var signert med gyldige digitale sertifikater fra utvikleren AVB Disc Soft, noe som gjorde dem tilsynelatende legitime. Den ondsinnede serveren som brukes til kommunikasjon, er registrert bare en uke før angrepet startet.
Etter avsløringen har utvikleren publisert en oppdatert versjon, 12.6.0.2445, som ikke inneholder den ondsinnede koden.
Securelist: Fra begynnelsen av april observerte vi flere tusen infeksjonsforsøk som involverte DAEMON Tools i vår telemetri, der både privatpersoner og organisasjoner i over 100 land ble rammet. Av alle de infiserte maskinene har vi imidlertid kun sett at videre payloads ble distribuert til et dusin av dem. Disse maskinene tilhørte organisasjoner innen detaljhandel, forskning, offentlig sektor og produksjon, noe som tyder på at forsyningskjedeangrepet er målrettet.
Hackerne modifiserte tre kjernerfiler i DAEMON Tools
Tre kjernefiler i programvaren ble modifisert: DTHelper.exe, DiscSoftBusServiceLite.exe og DTShellHlp.exe. Når disse kjøres ved systemoppstart, aktiveres en skjult bakdør som kontakter en ekstern kommando- og kontrollserver. Angriperne brukte et domene designet for å etterligne den ekte DAEMON Tools-nettsiden.
De fleste infiserte maskiner mottok først en informasjonssamler som henter ut MAC-adresse, vertsnavn, kjørende prosesser, installert programvare og systemspråk.
Dataene sendes til angripernes servere og brukes trolig til å vurdere hvilke maskiner som er interessante for videre angrep. Kode med kinesiskspråklige strenger er funnet i skadevaren, men ingen formell tilskriving er gjort.
Målrettede organisasjoner rammet hardest
Av tusenvis av infiserte maskiner i over 100 land mottok bare et titalls avanserte bakdører i andre fase. Disse tilhørte organisasjoner innen offentlig sektor, forskning, produksjon og handel. Det tyder på målrettede, etterretningslignende operasjoner snarere enn tilfeldige angrep.
Flest berørte systemer er registrert i Russland, Brasil, Tyrkia, Spania, Tyskland, Frankrike, Italia og Kina.
I ett bekreftet tilfelle ble et avansert verktøy kalt QUIC RAT benyttet. Dette støtter flere kommunikasjonsprotokoller og kan injisere kode i legitime systemprosesser som notepad.exe.
Hva bør du gjøre om du tror du er infisert?
Har du installert DAEMON Tools etter 8. april 2026, bør du umiddelbart sjekke systemet for unormal aktivitet.
Kaspersky anbefaler å oppdatere til versjon 12.6.0.2445, overvåke PowerShell-aktivitet og begrense kjøring av filer fra midlertidige mapper. Angrepet er det fjerde store forsyningskjedeangrebet Kaspersky har avdekket bare i 2026 – etter eScan, Notepad++ og CPU-Z.
Comments (0)
No comments yet. Be the first to comment!