Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → daemon tools

Официальный сайт Daemon Tools уже месяц распространяет заражённый установщик с трояном

«Лаборатория Касперского» обнаружила, что установщики программы DAEMON Tools для монтирования образов дисков заражены вредоносным кодом: пользователи скачивают доверенное программное обеспечение (ПО), а получают скрытую программу удалённого управления системой. Заражённые версии с 12.5.0.2421 по 12.5.0.2434 распространяются с 8 апреля 2026 года и затронули частных лиц и организации более чем в 100 странах.

 Источник изображения: blog.daemon-tools.cc

Источник изображения: blog.daemon-tools.cc

Злоумышленники подменили в составе DAEMON Tools три исполняемых файла: DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe. Все три имеют действующую цифровую подпись разработчика — компании AVB Disc Soft, поэтому Windows воспринимает их как доверенные. Файлы запускаются при старте компьютера, и каждый раз активируется скрытый бэкдор — программа удалённого управления. Она обращается к управляющему серверу злоумышленников по доменному имени, которое зарегистрировано за неделю до начала атаки и почти неотличимо от адреса настоящего DAEMON Tools. В ответ сервер передаёт команды для загрузки в систему жертвы дополнительных вредоносных компонентов.

Аналитики выявили три типа таких компонентов. На большинстве заражённых машин запускался сборщик информации — программа на платформе .NET, которая отправляет злоумышленникам MAC-адрес сетевой карты, имя хоста, DNS-имя домена, список запущенных процессов, перечень установленного ПО и язык системы. Эти сведения помогают атакующим отобрать наиболее ценные цели. Только на десятке компьютеров затем разворачивался минималистичный бэкдор, который загружает вредоносные файлы, выполняет команды в системной оболочке и запускает дополнительные модули в памяти. Самый сложный вредонос, троян QUIC RAT, был обнаружен лишь у одного российского учебного заведения. Этот вредонос поддерживает семь протоколов связи с управляющим сервером (HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3) и способен внедрять вредоносный код в системные процессы notepad.exe и conhost.exe.

С 8 апреля специалисты «Лаборатории Касперского» зафиксировали тысячи попыток установки таких вредоносных компонентов. Большинство жертв находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Около 10 % затронутых систем принадлежат организациям. При этом серьёзный бэкдор обнаружен лишь на десятке компьютеров — в государственных, научных, производственных и розничных организациях России, Беларуси и Таиланда. Такая избирательность подтверждает целевой характер кибератаки, но её цель — кибершпионаж или вымогательство у крупных организаций — пока не ясна.

Обнаружение атаки заняло около месяца — это сопоставимо со сроками выявления компрометации приложения 3CX, которую «Лаборатория Касперского» расследовала при участии экспертного сообщества в 2023 году. С начала 2026 года компания расследовала уже четыре подобные атаки: в январе — eScan, в феврале — Notepad++, в апреле — CPU-Z, теперь — DAEMON Tools. Широко используемые и доверенные приложения становятся всё более привлекательным каналом для злоумышленников: одного взлома разработчика достаточно, чтобы вредоносный код одновременно попал на машины тысяч его пользователей.


window-new
Soft
Hard
Тренды 🔥
Демоверсия скоростного шутера Hmur от звукорежиссёра Atomic Heart выйдет в сентябре — новый безумный трейлер 12 мин.
В браузер DuckDuckGo встроили блокировщик рекламных видео на YouTube 2 ч.
Прототип цифрового рубля взломали из-за базовых ошибок 2 ч.
Более миллиона игроков ответили на зов: 11 bit studios похвасталась продажами безжалостной градостроительной стратегии Frostpunk 2 2 ч.
[Обновлено] Датамайнер раскрыл дату релиза жестокого ролевого боевика Mortal Shell 2 — долго ждать не придётся 3 ч.
«Отличный ремейк для игры, которой он был не нужен»: критики вынесли вердикт Assassin’s Creed Black Flag Resynced 3 ч.
ИИ-помощник в «Яндекс Картах» поможет с планированием досуга и активностей 3 ч.
ФБР и Google обезвредили ботнет, в котором работали 2 миллиона смарт-телевизоров 4 ч.
Долой пересветы и тусклые цвета: Google сделает HDR-видео одинаково красивым на разных Android-смартфонах 4 ч.
Apple проиграла суд и не смогла отделаться от статуса «привратника» в Европе 4 ч.
Китайский зонд добрался до астероида для забора проб — он оказался гораздо меньше ожидаемого 2 ч.
Релиз Kaspersky NGFW 1.2: виртуальные контексты, маршрутизация на основе политик, защита от IP Spoofing и многое другое 3 ч.
Робот-доставщик «Яндекса» врезался в автомобиль и скрылся с места ДТП 3 ч.
Тысяча долларов за литр: Asus выпустила игровой мини-ПК ROG GR70 с Ryzen 9 9955HX3D и RTX 5070 4 ч.
Tesla пустит стартапы на свой завод в Берлине, чтобы они улучшили её аккумуляторы 4 ч.
Patriot выпустила двухканальные комплекты памяти Viper Steel 5 Infinite DDR5-8000 ёмкостью до 96 Гбайт 4 ч.
Слишком далеко, дорого и долго: эксперты раскритиковали мегапроект SK hynix и Samsung по строительству заводов памяти 4 ч.
Скрытая съёмка запрещена: очки Meta перестанут записывать видео, если повреждён индикатор съёмки 4 ч.
ИИ-модели Perplexity заработают на центральных процессорах Nvidia Vera 4 ч.
Meta тестирует «сверхчувствительные» умные очки — они будут постоянно записывать видео и аудио 4 ч.