Daemon Tools, en populär app för att montera skivavbilder, komprometterades i en leveranskedjeattack som inleddes den 8 april och spred skadlig kod via officiella uppdateringar. Säkerhetsföretaget Kaspersky rapporterade infektioner på tusentals datorer i över 100 länder. Användare uppmanas att omedelbart skanna sina system.
Kaspersky avslöjade den 5 maj att attacken mot Daemon Tools påbörjades den 8 april och pågick i ungefär en månad. Skadliga installationsfiler, signerade med utvecklarens officiella digitala certifikat, distribuerades från AVB-utvecklarens webbplats. De berörda Windows-versionerna sträcker sig från 12.5.0.2421 till 12.5.0.2434, där skadeprogrammet aktiverades vid uppstart för att samla in data som MAC-adresser, värdnamn och installerad programvara innan den skickades till angriparstyrda servrar. Tusentals maskiner drabbades, främst i Ryssland, Brasilien, Turkiet, Spanien, Tyskland, Frankrike, Italien och Kina, uppgav Kaspersky baserat på sin telemetri. Cirka 10 procent tillhörde företag och organisationer, inklusive inom detaljhandel, forskning, offentlig sektor och tillverkningsindustri. Endast ett 12-tal system tog emot avancerade bakdörrar, såsom en minimalistisk variant som möjliggör kommandoexekvering och filnedladdningar, eller den mer sofistikerade QUIC RAT som upptäcktes på en rysk utbildningsdator. "Baserat på vår långvariga erfarenhet av att analysera leveranskedjeattacker kan vi dra slutsatsen att angriparna orkestrerade komprometteringen av DAEMON Tools på ett mycket sofistikerat sätt", skrev Kasperskys forskare. De noterade likheter med tidigare incidenter som 3CX-attacken 2023, som också tog ungefär en månad att upptäcka. Kaspersky rådde användare att skanna maskiner med antivirusprogram och kontrollera indikatorer på intrång som listas i rapporten, särskilt misstänkta kodinjektioner i processer som notepad.exe från kataloger som Temp eller AppData. Varken Kaspersky eller utvecklaren AVB gav några ytterligare omedelbara detaljer.
