Kaspersky выявляет кибератаку через DAEMON Tools: утечка ПО с бэкдором

Эксперты Kaspersky GReAT которым я проиграл в бильярд обнаружили кибератаку в начале апреля 2026 года через официальный сайт DAEMON Tools распространяется ПО с бэкдором Как пишет автор канала Кибервойна Олег Шакиров разработчик DAEMON Tools латвийская компания отреагировала на уведомление Лаборатории Касперского и убрала скомпрометированный установщик Подробный разбор атаки ЛК дала по ссылке cybersachok

На сайте DAEMON Tools обнаружен бэкдор специалисты Kaspersky GReAT выявили вредоносное ПО в установщике программы Вредонос присутствует в версиях с 12 5 0 2421 Зафиксировано более 2000 заражений в 100 странах включая Россию После запуска программа подключается к C2 серверу исполняет команды и разворачивает вредоносные модули чаще всего это инфостилер для сбора данных об устройстве Иногда используется дополнительный бэкдор для загрузки файлов и выполнения кода Рекомендации удалить DAEMON Tools и проверить систему Для компаний советуют изолировать заражённые устройства и провести аудит безопасности Илон Маск

Хорошая новость Kaspersky обнаружил бэкдор в DAEMON Tools Плохая через месяц после начала заражения Касперский обнаружил атаку на цепочку поставок DAEMON Tools С 8 апреля 2026 года с официального сайта разработчика распространяется заражённая версия популярной программы для работы с образами дисков с бэкдором внутри и действительной цифровой подписью Зафиксировано более 2000 заражений в 100 странах 20 пострадавших устройств находятся в России около 10 всех жертв являются корпоративными системами Бэкдор позволяет обходить защиту выполнять команды и устанавливать дополнительное вредоносное ПО Если вы скачивали DAEMON Tools версии 12 5 0 2421 и выше начиная с 8 апреля немедленно удалите программу и проведите полное сканирование системы кибербезопасность daemontools kaspersky SecLabNews

Официальный сайт Daemon Tools уже месяц как распространяет установщик с трояном Зараженные версии некогда популярной утилиты для эмуляции виртуальных дисков распространяются с 8 апреля 2026 года По данным Лаборатории Касперского за это время произошло несколько тысяч установок Злоумышленник стоящий за этой атакой говорит по китайски Причём заражённый файл подписан валидным сертификатом разработчика программы что не позволяет выявить проблему стандартными средствами Мой Компьютер

Daemon Tools раздавал бэкдор через официальные обновления почти месяц Установщики Daemon Tools популярного приложения для монтирования образов дисков с 8 апреля распространяли вредоносную нагрузку Файлы скачивались с официального сайта разработчика и были подписаны его легитимным цифровым сертификатом Затронуты Windows версии с 12 5 0 2421 по 12 5 0 2434 Заражённый исполняемый файл запускает закладку при загрузке системы Первичная нагрузка собирает MAC адреса имена хостов DNS домены список процессов установленное ПО и системные локали после чего отправляет всё это на C2 сервер атакующих Пострадали тысячи машин более чем в 100 странах в первую очередь Россия Бразилия Турция Испания Германия Франция Италия и Китай Около 10 заражённых систем принадлежат организациям Самое интересное следующая стадия Дополнительный пейлоад получили лишь 12 машин в государственных научных производственных и ритейл структурах России Беларуси и Таиланда Это минималистичный бэкдор умеющий выполнять команды скачивать файлы и запускать шеллкод прямо в памяти На одной машине российского образовательного учреждения нашли отдельный более сложный имплант QUIC RAT Он инжектит код в notepad exe и conhost exe и поддерживает связь с C2 по HTTP UDP TCP WSS QUIC DNS и HTTP 3 Точечная доставка второй стадии говорит о целевом характере операции цели кибершпионаж или big game hunting пока не определены Если у вас плохо прогружаются файлы всё также доступно в канале в MAX News Soft Hacker