«Лаборатория Касперского» обнаружила кибератаку на разработчика DAEMON Tools

Эксперты Kaspersky GReAT обнаружили, что через официальный веб-сайт разработчика DAEMON Tools распространяется легитимная приложение для работы с бэкдором внутри. Заражённый софт подписан действительным цифровым сертификатом разработчика и распространяется с 8 апреля 2026 года начиная с версии 12.5.0.2421. 

Скомпрометированный установщик выполняет вредоносный код при запуске процесса и использует легитимный служба Windows для закрепления в системе. Поскольку DAEMON Tools требует расширенных прав администратора, вредонос получает глубокий доступ к операционной системе. 

Специалисты зафиксировали свыше двух тысяч заражений в свыше 100 странах, при этом 20% пострадавших устройств приходится на Россию. Отмечается, что приблизительно 10% всех затронутых устройств оказались корпоративными.

В большинстве случаев жертвы получали вредонос для кражи данных. Приблизительно на десяти машинах развернули более сложный бэкдор — в государственных, научных, производственных организациях и компаниях розничной торговли в России, Беларуси и Таиланде. Это указывает на нацеленный характер атаки: сначала широкое заражение, затем выборочная доработка интересующих злоумышленников целей.

Среди вредоносных имплантов обнаружены артефакты на китайском языке, однако кампания пока не приписана ни одной известной хакерской группе. 

«Лаборатория Касперского» уведомила разработчика AVB Disc Soft. Пользователям рекомендуется удалить текущую версию программы и провести полную проверку системы.