Сегодня 01 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → daemon tools

Официальный сайт Daemon Tools уже месяц распространяет заражённый установщик с трояном

«Лаборатория Касперского» обнаружила, что установщики программы DAEMON Tools для монтирования образов дисков заражены вредоносным кодом: пользователи скачивают доверенное программное обеспечение (ПО), а получают скрытую программу удалённого управления системой. Заражённые версии с 12.5.0.2421 по 12.5.0.2434 распространяются с 8 апреля 2026 года и затронули частных лиц и организации более чем в 100 странах.

 Источник изображения: blog.daemon-tools.cc

Источник изображения: blog.daemon-tools.cc

Злоумышленники подменили в составе DAEMON Tools три исполняемых файла: DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe. Все три имеют действующую цифровую подпись разработчика — компании AVB Disc Soft, поэтому Windows воспринимает их как доверенные. Файлы запускаются при старте компьютера, и каждый раз активируется скрытый бэкдор — программа удалённого управления. Она обращается к управляющему серверу злоумышленников по доменному имени, которое зарегистрировано за неделю до начала атаки и почти неотличимо от адреса настоящего DAEMON Tools. В ответ сервер передаёт команды для загрузки в систему жертвы дополнительных вредоносных компонентов.

Аналитики выявили три типа таких компонентов. На большинстве заражённых машин запускался сборщик информации — программа на платформе .NET, которая отправляет злоумышленникам MAC-адрес сетевой карты, имя хоста, DNS-имя домена, список запущенных процессов, перечень установленного ПО и язык системы. Эти сведения помогают атакующим отобрать наиболее ценные цели. Только на десятке компьютеров затем разворачивался минималистичный бэкдор, который загружает вредоносные файлы, выполняет команды в системной оболочке и запускает дополнительные модули в памяти. Самый сложный вредонос, троян QUIC RAT, был обнаружен лишь у одного российского учебного заведения. Этот вредонос поддерживает семь протоколов связи с управляющим сервером (HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3) и способен внедрять вредоносный код в системные процессы notepad.exe и conhost.exe.

С 8 апреля специалисты «Лаборатории Касперского» зафиксировали тысячи попыток установки таких вредоносных компонентов. Большинство жертв находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Около 10 % затронутых систем принадлежат организациям. При этом серьёзный бэкдор обнаружен лишь на десятке компьютеров — в государственных, научных, производственных и розничных организациях России, Беларуси и Таиланда. Такая избирательность подтверждает целевой характер кибератаки, но её цель — кибершпионаж или вымогательство у крупных организаций — пока не ясна.

Обнаружение атаки заняло около месяца — это сопоставимо со сроками выявления компрометации приложения 3CX, которую «Лаборатория Касперского» расследовала при участии экспертного сообщества в 2023 году. С начала 2026 года компания расследовала уже четыре подобные атаки: в январе — eScan, в феврале — Notepad++, в апреле — CPU-Z, теперь — DAEMON Tools. Широко используемые и доверенные приложения становятся всё более привлекательным каналом для злоумышленников: одного взлома разработчика достаточно, чтобы вредоносный код одновременно попал на машины тысяч его пользователей.


window-new
Soft
Hard
Тренды 🔥
Samsung закроет свой мессенджер в пользу аналога Google в этом месяце 26 мин.
Издатель Warhammer 40,000: Battlesector спас Warhammer Blood Bowl от неплатёжеспособной Nacon 43 мин.
Австрия призвала Евросоюз привлечь Anthropic на свою территорию после введённых США ограничений на передовые ИИ-модели 56 мин.
«Дело было не в деньгах»: бывший босс PlayStation объяснил, зачем Sony начала выпускать свои эксклюзивы на ПК 2 ч.
Google радикально усложнила разблокировку смартфонов на Android 17 3 ч.
Sony полностью прекратит выпускать диски с играми для PlayStation с января 2028 года 4 ч.
CNews снова поставил Basis Workplace на первое место в рейтинге VDI 4 ч.
Соцсеть X упростила подключение сторонних ИИ-приложений 4 ч.
«СберТех» представил векторную СУБД Platform V Vector DB для ИИ‑нагрузок 4 ч.
Европарламент отказался узаконить сканирование всех переписок в мессенджерах под предлогом защиты детей — пока что 5 ч.
iPhone обвинили в падении рождаемости — они «сыграли значительную роль» в снижении незапланированных беременностей в США 8 мин.
В Тайване арестованы сотрудники Supermicro по делу о контрабанде чипов Nvidia в Китай 11 мин.
Meta задумала стать облачным провайдером и продавать доступ к своим ИИ-суперкомпьютерам, как AWS и Google Cloud 22 мин.
Acer представила 27-дюймовый геймерский монитор Nitro XV273U F5 с разгоном до 1000 Гц за $700 32 мин.
Китайские автопроизводители ускоренно отказываются от иностранных чипов — из-за риска санкций 2 ч.
Сайты OnePlus стали рекламировать смартфоны Oppo вместо своих новинок 2 ч.
Sony объявила об окончательном закрытии PlayStation Store для консолей PS3 и PS Vita 2 ч.
NASA заказало ещё четыре посадки на Луну — чтобы американская база появилась там раньше китайской 2 ч.
Etched заключил контракты на поставку чипов для ИИ-инференса более чем на $1 млрд 2 ч.
Китайская BYD снова обгонит Tesla по продажам электромобилей 2 ч.