Добавить в корзинуПозвонить
Найти в Дзене
RedStorm
1 подписчик

Официальный DAEMON Tools заражён вредоносным модулем

1
3 мин
Помните старую истину: «Если вы не платите за продукт, то продукт — вы»? Разработчики виртуальных дисководов довели её до абсурда. В начале мая 2026 года специалисты Kaspersky GReAT обнаружили, что официальные установщики DAEMON Tools (начиная с версии 12.5.0.2421 и заканчивая 12.5.0.2434) содержат бэкдор. Причем распространялся он через официальный сайт аж с 8 апреля. Проще говоря: вы качаете программу, чтобы поставить старый образ с «Heroes III», а получаете… привет от хакеров с доступом к вашему ПК. Злоумышленникам удалось скомпрометировать три легитимных файла прямо в папке с программой (например, C:\Program Files\DAEMON Tools Lite): Самое мерзкое: цифровая подпись осталась настоящей, от компании AVB Disc Soft. То есть система доверяла файлам, а они уже были с «сюрпризом». Эти бинарники запускались вместе с Windows, и каждый раз при старте активировался бэкдор в отдельном потоке. Он слал GET-запросы на сервер, чей адрес был создан с помощью тайпсквоттинга (подмена похожего домена):
Оглавление

Помните старую истину: «Если вы не платите за продукт, то продукт — вы»? Разработчики виртуальных дисководов довели её до абсурда. В начале мая 2026 года специалисты Kaspersky GReAT обнаружили, что официальные установщики DAEMON Tools (начиная с версии 12.5.0.2421 и заканчивая 12.5.0.2434) содержат бэкдор. Причем распространялся он через официальный сайт аж с 8 апреля.

Проще говоря: вы качаете программу, чтобы поставить старый образ с «Heroes III», а получаете… привет от хакеров с доступом к вашему ПК.

Что именно засунули в установщик?

Злоумышленникам удалось скомпрометировать три легитимных файла прямо в папке с программой (например, C:\Program Files\DAEMON Tools Lite):

  • DTHelper.exe
  • DiscSoftBusServiceLite.exe
  • DTShellHlp.exe

Самое мерзкое: цифровая подпись осталась настоящей, от компании AVB Disc Soft. То есть система доверяла файлам, а они уже были с «сюрпризом». Эти бинарники запускались вместе с Windows, и каждый раз при старте активировался бэкдор в отдельном потоке. Он слал GET-запросы на сервер, чей адрес был создан с помощью тайпсквоттинга (подмена похожего домена): вместо настоящего daemon-tools[.]cc — фальшивый, зарегистрированный 27 марта, аккурат за неделю до атаки.

А что делает этот бэкдор?

Сервер мог вернуть команду для cmd.exe, которая скачивала и запускала вредоносную нагрузку. Чаще всего — инфостилер (envchk.exe на C:\Windows\Temp). Он собирал:

  • MAC-адрес и имя хоста
  • DNS-домен
  • список запущенных процессов
  • список установленного ПО (через точку с запятой, серьёзно)
  • язык системы

Эти данные отправлялись на C2-сервер. Зачем? Чтобы хакеры понимали: «Обычный пользователь или золотая жила?».

А если повезет — то и второй бэкдор

Примерно на десятке машин (из тысяч) злоумышленники развернули минималистичный бэкдор (файлы cdg.exe и cdg.tmp). Он умел загружать файлы, исполнять shell-команды и запускать шелл-код в памяти. Вишенка на торте — тот самый минималистичный бэкдор использовался для внедрения QUIC RAT (с поддержкой протоколов HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3). Эту RAT обнаружили только в одной организации — учебном заведении в России.

Причем хакеры, судя по всему, действовали вручную и нервничали: в командах нашлись опечатки. Например, cipher написали как chiper, а в имени файла crypto.dll пропустили букву «c». Так что ИИ им не помощник — старый добрый человеческий фактор.

Цифры и география (без паники, но с тревогой)

  • Более 2000 заражений (по данным Касперского, «тысячи попыток»)
  • Более 100 стран, включая Россию, Бразилию, Турцию, Испанию, Германию, Францию, Италию и Китай.
  • 10% заражённых систем — бизнес и организации (госсектор, наука, производство, розница).
  • Россия, Беларусь, Таиланд — где видели сложный бэкдор.
«Атака на цепочку поставок продолжается с 8 апреля» — пишут эксперты. То есть прямо сейчас, пока вы читаете эту статью, кто-то может скачать заражённый установщик и думать: «О, обновился DAEMON Tools, удобно».

Что делать, если у вас стоит DAEMON Tools?

  1. Проверить версию. Если от 12.5.0.2421 до 12.5.0.2434 включительно — вы в группе риска.
  2. Удалить программу. Не просто ярлык, а полностью, лучше через официальный деинсталлятор.
  3. Просканировать систему любым антивирусом (решения Касперского, например, детектируют бэкдор на всех этапах — от загрузки через PowerShell до внедрения в notepad.exe и conhost.exe).
  4. Для компаний: Изолировать заражённые устройства от сети. Провести аудит безопасности — потому что если инфостилер отработал, пароли и логины могли утечь.
  5. Повысить паранойю хотя бы на уровень «А не проверить ли мне процессы в диспетчере задач?».

Как это вообще стало возможно?

Разработчики DAEMON Tools (AVB Disc Soft) пока не дали публичного комментария.

Связывать с конкретной группировкой пока рано, но тренд пугающий: за первые 4 месяца 2026 года атакам через цепочки поставок подверглись eScan, Notepad++, CPU-Z и вот теперь DAEMON Tools. Похоже, хакеры перешли от «взломать одну компанию» к «отравить дистрибутив популярной утилиты».

Вердикт

Если вы всё ещё используете DAEMON Tools для монтирования образов — задумайтесь. Встроенные средства Windows (ISO-монтирование) работают с Windows 8/10/11 «из коробки». А если уж очень нужен виртуальный дисковод — лучше возьмите что-то open-source, без «сюрпризов» в официальном установщике.

Ссылка на полный отчёт (с индикаторами компрометации и правилами для SOC):
https://securelist.ru/tr/daemon-tools-backdoor/115484/