Официальный сайт DAEMON Tools раздавал установщик с бэкдором: атака длилась почти месяц

«Лаборатория Касперского» обнаружила заражённые версии DAEMON Tools, которые распространялись через официальный сайт разработчика. Проблема затронула версии с 12.5.0.2421 до 12.5.0.2434. Первая троянизированная сборка появилась 8 апреля 2026 года, публикация исследования вышла 5 мая.

DAEMON Tools — популярная программа для работы с образами дисков: ISO, виртуальными приводами и связанными инструментами. На сайте проекта она по-прежнему описывается как ПО для Windows 10 и Windows 11, а также как «world-known imaging software».

Суть инцидента неприятная: пользователь мог скачать программу с официального сайта, установить её и получить на машине вредоносный модуль. Часть заражённых файлов имела действительную цифровую подпись AVB Disc Soft, разработчика DAEMON Tools. Это усложняет ручную проверку: подпись есть, сайт официальный, установщик выглядит нормальным.

В заражённых сборках изменили несколько файлов: DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe. Они лежат в каталоге установки, например в C:\Program Files\DAEMON Tools Lite, и запускаются при старте системы. После запуска бэкдор связывался с управляющим сервером через домен, похожий на легитимный домен DAEMON Tools. Такой приём называется тайпсквоттингом: адрес выглядит знакомо, но ведёт не туда.

Первый этап атаки был похож на отбор целей. На заражённые компьютеры загружался сборщик информации: он собирал MAC-адрес, имя хоста, DNS-домен, список процессов, установленное ПО и язык системы. Эти данные уходили на управляющий сервер.

Всего зафиксированы тысячи попыток установки вредоносной нагрузки. Заражения обнаружены более чем в 100 странах и территориях; среди стран с наибольшим числом случаев названы Россия, Бразилия, Турция, Испания, Германия, Франция, Италия и Китай. Около 10% затронутых систем относятся к бизнесу и организациям.

Более сложный бэкдор доставлялся выборочно — примерно на десять машин. В этой группе были устройства организаций из госсектора, науки, промышленности и розницы в России, Беларуси и Таиланде. Ещё один имплант, названный QUIC RAT, нашли только у одной российской учебной организации. Он поддерживает несколько каналов связи с управляющим сервером, включая HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3.

Исследователи нашли в коде строки на китайском языке, но не привязали атаку к конкретной группировке. Разработчика DAEMON Tools уведомили. Пользователям и администраторам стоит проверить машины, где DAEMON Tools ставился или обновлялся 8 апреля 2026 года и позже. Главный вывод простой: даже официальный сайт и цифровая подпись не дают полной гарантии, если скомпрометирована цепочка поставки ПО.

Проверьте наличие DAEMON Tools версий 12.5.0.2421–12.5.0.2434, файлы DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe, а также обращения к env-check.daemontools[.]cc и 38.180.107[.]76. Индикаторы компрометации опубликованы в техническом отчёте Kaspersky.