В начале мая 2026 года специалисты по кибербезопасности из компании Лаборатория Касперского обнаружили скомпрометированные официальные установщики популярной программы DAEMON Tools. Атака на цепочку поставок началась 8 апреля 2026 года и затронула версии приложения от 12.5.0.2421 до 12.5.0.2434. Разработчик программного обеспечения, компания AVB Disc Soft, уже подтвердил наличие проблемы. В выпущенном обновлении под номером 12.6.0.2445 вредоносный код был полностью удален.
В зараженных версиях злоумышленники модифицировали 3 исполняемых файла, которые имели легитимную цифровую подпись разработчика. При запуске компьютера активировался бэкдор, отправляющий запросы на вредоносный сервер. Сервер использовал доменное имя, очень похожее на официальный адрес приложения. Сначала на компьютеры пользователей загружалась программа для сбора системной информации. Она собирала данные о запущенных процессах, установленном программном обеспечении, языке системы и сетевых адресах.
По данным аналитиков, было зафиксировано более 1000 попыток заражения. Инциденты произошли более чем в 100 странах мира. Большинство пострадавших пользователей находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Примерно 10 процентов затронутых систем принадлежат бизнес-сектору. Дальнейшее развертывание более сложных вредоносных программ, включая минималистичный бэкдор и троян QUIC RAT, наблюдалось лишь на 10 устройствах. Эти компьютеры принадлежали организациям из сферы розничной торговли, науки, государственного управления и производства, что указывает на целенаправленный характер атаки.
Эксперты рекомендуют всем пользователям DAEMON Tools проверить свои системы на наличие аномальной активности, начиная с 8 апреля 2026 года. Также необходимо как можно быстрее обновить программу до безопасной версии 12.6.0.2445. Исследователи отмечают значительный рост подобных инцидентов в 2026 году, когда хакеры внедряют вредоносный код в доверенные приложения с большой аудиторией.