Сегодня 15 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → daemon tools

Официальный сайт Daemon Tools уже месяц распространяет заражённый установщик с трояном

«Лаборатория Касперского» обнаружила, что установщики программы DAEMON Tools для монтирования образов дисков заражены вредоносным кодом: пользователи скачивают доверенное программное обеспечение (ПО), а получают скрытую программу удалённого управления системой. Заражённые версии с 12.5.0.2421 по 12.5.0.2434 распространяются с 8 апреля 2026 года и затронули частных лиц и организации более чем в 100 странах.

 Источник изображения: blog.daemon-tools.cc

Источник изображения: blog.daemon-tools.cc

Злоумышленники подменили в составе DAEMON Tools три исполняемых файла: DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe. Все три имеют действующую цифровую подпись разработчика — компании AVB Disc Soft, поэтому Windows воспринимает их как доверенные. Файлы запускаются при старте компьютера, и каждый раз активируется скрытый бэкдор — программа удалённого управления. Она обращается к управляющему серверу злоумышленников по доменному имени, которое зарегистрировано за неделю до начала атаки и почти неотличимо от адреса настоящего DAEMON Tools. В ответ сервер передаёт команды для загрузки в систему жертвы дополнительных вредоносных компонентов.

Аналитики выявили три типа таких компонентов. На большинстве заражённых машин запускался сборщик информации — программа на платформе .NET, которая отправляет злоумышленникам MAC-адрес сетевой карты, имя хоста, DNS-имя домена, список запущенных процессов, перечень установленного ПО и язык системы. Эти сведения помогают атакующим отобрать наиболее ценные цели. Только на десятке компьютеров затем разворачивался минималистичный бэкдор, который загружает вредоносные файлы, выполняет команды в системной оболочке и запускает дополнительные модули в памяти. Самый сложный вредонос, троян QUIC RAT, был обнаружен лишь у одного российского учебного заведения. Этот вредонос поддерживает семь протоколов связи с управляющим сервером (HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3) и способен внедрять вредоносный код в системные процессы notepad.exe и conhost.exe.

С 8 апреля специалисты «Лаборатории Касперского» зафиксировали тысячи попыток установки таких вредоносных компонентов. Большинство жертв находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Около 10 % затронутых систем принадлежат организациям. При этом серьёзный бэкдор обнаружен лишь на десятке компьютеров — в государственных, научных, производственных и розничных организациях России, Беларуси и Таиланда. Такая избирательность подтверждает целевой характер кибератаки, но её цель — кибершпионаж или вымогательство у крупных организаций — пока не ясна.

Обнаружение атаки заняло около месяца — это сопоставимо со сроками выявления компрометации приложения 3CX, которую «Лаборатория Касперского» расследовала при участии экспертного сообщества в 2023 году. С начала 2026 года компания расследовала уже четыре подобные атаки: в январе — eScan, в феврале — Notepad++, в апреле — CPU-Z, теперь — DAEMON Tools. Широко используемые и доверенные приложения становятся всё более привлекательным каналом для злоумышленников: одного взлома разработчика достаточно, чтобы вредоносный код одновременно попал на машины тысяч его пользователей.


window-new
Soft
Hard
Тренды 🔥
«Экстраординарно жестокая» игра Machine Party от автора Buckshot Roulette предложит состязаться с друзьями не на жизнь, а на смерть — трейлер и дата выхода 14 мин.
Вампирская ролевая игра The Blood of Dawnwalker от ведущих разработчиков The Witcher 3 и Cyberpunk 2077 ушла на золото за полтора месяца до релиза 2 ч.
Следующая большая игра FromSoftware скоро выйдет из тени — объявлены точные сроки проведения сетевого тестирования The Duskbloods 3 ч.
«Лаборатория Касперского» представила решение Kaspersky VM для поиска и управления уязвимостями в корпоративной среде 3 ч.
«Люди перестанут быть высшей формой жизни»: глава SoftBank оценил ИИ-революцию в $5 трлн в год 4 ч.
WhatsApp готовит собственное облако для резервных копий чатов 5 ч.
Набор смайликов Unicode пополнили огурец с пупырышками, треснувшее лицо и другие полезные картинки 5 ч.
Число владельцев доменов в России растёт быстрее числа самих доменов 5 ч.
Microsoft станет реже пересматривать цены в местной валюте на облачные продукты 5 ч.
Защиту Microsoft Secure Boot взломали десять лет назад, но заметили это только сейчас 6 ч.
Google выкупила всю энергию 2,5-ГВт солнечной электростанции в США, которая ещё даже не построена 3 ч.
Sony отложила выпуск аркадного геймпада PlayStation FlexStrike на неопределённый срок 4 ч.
Asus выпустила игровые мониторы ROG Swift OLED PG27UCWM и PG32UCWM — Tandem RGB OLED и режимы 4K@240 и FHD@480 Гц 4 ч.
Palit представила видеокарту GeForce RTX 3060 Infinity 2 OC на пятилетнем GPU 5 ч.
Бум ИИ разгонит рынок оборудования для выпуска чипов до рекордных $230 млрд к 2028 году 5 ч.
В обход FLAPD: Pure DC запустит в Финляндии 550-МВт ИИ ЦОД стоимостью €7,5 млрд 5 ч.
Google призналась, что стоит за проектом гигаваттного ИИ ЦОД в Вайоминге, который будет потреблять больше энергии, чем все дома штата 6 ч.
Нью-Йорк стал первым штатом США, утвердившим временный мораторий на строительство ЦОД мощностью более 50 МВт 6 ч.
Россия и США договорились летать на МКС до 2030 года, обсудили координацию спутников и лунные программы 6 ч.
Топливный кризис ускорил внедрение электрических такси в Китае 6 ч.