Aplikasi Daemon Tools terkena serangan rantai pasok selama sebulan

Kaspersky mengungkapkan pada 5 Mei bahwa serangan terhadap Daemon Tools dimulai pada 8 April dan berlanjut selama sekitar satu bulan. Penginstal berbahaya, yang ditandatangani dengan sertifikat digital resmi pengembang, didistribusikan dari situs web pengembang AVB. Versi Windows yang terdampak berkisar dari 12.5.0.2421 hingga 12.5.0.2434, di mana malware aktif saat booting untuk mengumpulkan data seperti alamat MAC, nama host, dan perangkat lunak yang terinstal sebelum mengirimkannya ke server yang dikendalikan penyerang. Ribuan mesin terkena dampak, terutama di Rusia, Brasil, Turki, Spanyol, Jerman, Prancis, Italia, dan Tiongkok, ujar Kaspersky berdasarkan telemetrinya. Sekitar 10% di antaranya milik bisnis dan organisasi, termasuk sektor ritel, ilmiah, pemerintah, dan manufaktur. Hanya sekitar 12 sistem yang menerima pintu belakang (backdoor) tingkat lanjut, seperti yang minimalis untuk memungkinkan eksekusi perintah dan pengunduhan file, atau QUIC RAT yang lebih canggih yang ditemukan pada satu mesin pendidikan di Rusia. “Berdasarkan pengalaman jangka panjang kami dalam menganalisis serangan rantai pasok, kami dapat menyimpulkan bahwa penyerang mengatur kompromi DAEMON Tools dengan cara yang sangat canggih,” tulis peneliti Kaspersky. Mereka mencatat kesamaan dengan insiden masa lalu seperti serangan 3CX tahun 2023, yang juga membutuhkan waktu sekitar sebulan untuk dideteksi. Kaspersky menyarankan pengguna untuk memindai mesin dengan perangkat lunak antivirus dan memeriksa indikator kompromi yang tercantum dalam laporannya, terutama injeksi kode mencurigakan ke dalam proses seperti notepad.exe dari direktori seperti Temp atau AppData. Baik Kaspersky maupun pengembang AVB tidak memberikan detail lebih lanjut secara langsung.