Supply-Chain-Angriff
Unsere Experten haben einen groß angelegten Supply-Chain-Angriff über DAEMON Tools entdeckt – eine Software zur Emulation virtueller Laufwerke. Den Angreifern gelang es, schädlichen Code in die Software-Installationsprogramme einzuschleusen, und alle mit Trojanern infizierten ausführbaren Dateien mit einer gültigen digitalen Signatur von AVB Disc Soft – dem Entwickler von DAEMON Tools – zu versehen. Die schädliche Version des Programms ist seit dem 8. April 2026 im Umlauf. Zum Zeitpunkt der Erstellung dieses Artikels dauert der Angriff noch an. Forscher bei Kaspersky gehen davon aus, dass es sich um einen gezielten Angriff handelt.
Welche Risiken birgt die Installation der schädlichen Version von DAEMON Tools?
Nachdem die mit einem Trojaner infizierte Software auf dem Computer des Opfers installiert wurde, wird bei jedem Systemstart eine schädliche Datei ausgeführt, die eine Anfrage an einen Command-and-Control-Server sendet. Als Antwort darauf kann der Server einen Befehl zum Herunterladen und Ausführen weiterer schädlicher Payloads senden.
Zunächst setzen die Angreifer einen Informationssammler ein, der die MAC-Adresse, den Hostnamen, den DNS-Domänennamen, Listen der laufenden Prozesse und der installierten Software sowie die Spracheinstellungen erfasst. Die Malware sendet diese Informationen anschließend an den Command-and-Control-Server.
In einigen Fällen sendet der Command-Server als Reaktion auf die gesammelten Informationen eine minimalistische Backdoor an den Rechner des Opfers. Diese ist in der Lage, zusätzliche schädliche Payloads herunterzuladen, Shell-Befehle auszuführen und Shellcode-Module im Speicher auszuführen.
Die Backdoor kann genutzt werden, um ein ausgefeilteres Implantat namens QUIC RAT zu installieren. Es unterstützt mehrere Kommunikationsprotokolle mit dem Command-and-Control-Server und ist in der Lage, schädliche Payloads in notepad.exe- und *conhost.exe-*Prozesse einzuschleusen.
Ausführlichere technische Informationen sowie Indikatoren für eine Kompromittierung finden Sie im Artikel der Experten auf dem Securelist-Blog.
Wer ist betroffen?
Seit Anfang April wurden mehrere tausend Versuche entdeckt, zusätzliche schädliche Payloads über infizierte DAEMON Tools-Software zu installieren. Die meisten der infizierten Geräte gehörten Privatanwendern, doch etwa 10 % der Installationsversuche wurden auf Systemen in Unternehmen entdeckt. Geografisch verteilten sich die Betroffenen auf rund einhundert verschiedene Länder und Gebiete. Die meisten befinden sich in Russland, Brasilien, der Türkei, Spanien, Deutschland, Frankreich, Italien und China.
Meistens beschränkte sich der Angriff auf die Installation eines Informationssammlers. Die Backdoor infizierte nur ein Dutzend Rechner in Regierungs-, Wissenschafts- und Fertigungsorganisationen sowie in Einzelhandelsunternehmen in Russland, Weißrussland und Thailand.
Was genau wurde infiziert?
Der Schadcode wurde in den Versionen 12.5.0.2421 bis 12.5.0.2434 von DAEMON Tools entdeckt. Die Angreifer haben die Dateien „DTHelper.exe“, „DiscSoftBusServiceLite.exe“ und „DTShellHlp.exe“ manipuliert, die im Hauptverzeichnis von DAEMON Tools installiert sind.
Wie können Sie sich schützen?
Wenn DAEMON Tools-Software auf Ihrem Computer (oder an anderer Stelle in Ihrem Unternehmen) verwendet wird, empfehlen unsere Experten, die Computer, auf denen sie installiert ist, ab dem 8. April gründlich auf ungewöhnliche Aktivitäten zu überprüfen.
Darüber hinaus empfehlen wir den Einsatz zuverlässiger Sicherheitslösungen auf allen Heim- und geschäftlichen Computern, die für den Zugriff auf das Internet genutzt werden. Unsere Lösungen schützen Benutzer“ with „Unsere Lösungen schützen Nutzer.
Tipps