L'application Daemon Tools victime d'une attaque par chaîne d'approvisionnement pendant un mois

Kaspersky a révélé le 5 mai que l'attaque contre Daemon Tools avait débuté le 8 avril et duré environ un mois. Des installateurs malveillants, signés avec le certificat numérique officiel du développeur, ont été distribués depuis le site web du développeur AVB. Les versions de Windows concernées vont de 12.5.0.2421 à 12.5.0.2434, le logiciel malveillant s'activant au démarrage pour collecter des données telles que les adresses MAC, les noms d'hôtes et les logiciels installés avant de les envoyer vers des serveurs contrôlés par les attaquants. Des milliers de machines ont été touchées, principalement en Russie, au Brésil, en Turquie, en Espagne, en Allemagne, en France, en Italie et en Chine, selon Kaspersky qui s'appuie sur sa télémétrie. Environ 10 % appartenaient à des entreprises et des organisations, notamment dans les secteurs de la vente au détail, de la science, du gouvernement et de la fabrication. Seuls 12 systèmes environ ont reçu des portes dérobées avancées, telles qu'une version minimaliste permettant l'exécution de commandes et le téléchargement de fichiers, ou le QUIC RAT plus sophistiqué repéré sur une machine éducative russe. "Sur la base de notre longue expérience dans l'analyse des attaques par chaîne d'approvisionnement, nous pouvons conclure que les attaquants ont orchestré la compromission de DAEMON Tools de manière hautement sophistiquée", ont écrit les chercheurs de Kaspersky. Ils ont noté des similitudes avec des incidents passés comme l'attaque de 3CX en 2023, qui avait également pris environ un mois à détecter. Kaspersky a conseillé aux utilisateurs d'analyser leurs machines avec un logiciel antivirus et de vérifier les indicateurs de compromission listés dans son rapport, en particulier les injections de code suspectes dans des processus comme notepad.exe à partir de répertoires tels que Temp ou AppData. Ni Kaspersky ni le développeur AVB n'ont fourni d'autres détails immédiats.