Специалисты Kaspersky GReAT обнаружили кибератаку на разработчика DAEMON Tools. Через официальный сайт программа распространялась установщиком с конкурентным кодом, при этом этот файл был подписан действительным цифровым сертификатом разработчика.
По данным компании, заражённая версия распространялась с 8 апреля 2026 года, начиная со сборки 12.5.0.2421. После запуска установщик применил конфиденциальный код и использовал легитимный сервис Windows, чтобы закрепиться в системе.
Масштаб атака
Исследователи зафиксировали более двух тысяч трупов в более чем 100 странах. Около 20% пострадавших от устройств частных лиц в России, примерно 10% заражённых машин принадлежат корпоративным.
В большинстве случаев устройства используются для обработки данных. Но примерно на десяти злоумышленниках развернулись компьютеры более сложного бэкдора — в госструктурах, научных, производственных организациях и ритейле в России, Беларуси и Таиланде.
Что это белое
Такая схема похожа на целевую цепочку поставок-атаку: сначала идет широкое заражение через официальный канал, а затем злоумышленники выбирают наиболее интересные цели и дорабатывают атаку под них.
«Лаборатория Касперского» уже уведомила разработчика AVB Disc Soft. Пользователи рекомендуют удалить текущую версию DAEMON Tools и провести полную проверку системы.