Unsere Experten haben einen gro\u00df angelegten Supply-Chain-Angriff \u00fcber DAEMON Tools entdeckt \u2013 eine Software zur Emulation virtueller Laufwerke. Den Angreifern gelang es, sch\u00e4dlichen Code in die Software-Installationsprogramme einzuschleusen, und alle mit Trojanern infizierten ausf\u00fchrbaren Dateien mit einer g\u00fcltigen digitalen Signatur von AVB Disc Soft \u2013 dem Entwickler von DAEMON Tools \u2013 zu versehen. Die sch\u00e4dliche Version des Programms ist seit dem 8. April 2026 im Umlauf. Zum Zeitpunkt der Erstellung dieses Artikels dauert der Angriff noch an. Forscher bei Kaspersky gehen davon aus, dass es sich um einen gezielten Angriff handelt.<\/p>\n
Nachdem die mit einem Trojaner infizierte Software auf dem Computer des Opfers installiert wurde, wird bei jedem Systemstart eine sch\u00e4dliche Datei ausgef\u00fchrt, die eine Anfrage an einen Command-and-Control-Server sendet. Als Antwort darauf kann der Server einen Befehl zum Herunterladen und Ausf\u00fchren weiterer sch\u00e4dlicher Payloads senden.<\/p>\n
Zun\u00e4chst setzen die Angreifer einen Information Collector ein, der die MAC-Adresse, den Hostnamen, den DNS-Dom\u00e4nennamen, Listen der laufenden Prozesse und der installierten Software sowie die Spracheinstellungen erfasst. Die Malware sendet diese Informationen anschlie\u00dfend an den Command-and-Control-Server.<\/p>\n
In einigen F\u00e4llen sendet der Command-Server als Reaktion auf die gesammelten Informationen eine minimalistische Backdoor an den Rechner des Opfers. Diese ist in der Lage, zus\u00e4tzliche sch\u00e4dliche Payloads herunterzuladen, Shell-Befehle auszuf\u00fchren und Shellcode-Module im Speicher auszuf\u00fchren.<\/p>\n
Die Backdoor kann genutzt werden, um ein ausgefeilteres Implantat namens QUIC RAT zu installieren. Es unterst\u00fctzt mehrere Kommunikationsprotokolle mit dem Command-and-Control-Server und ist in der Lage, sch\u00e4dliche Payloads in notepad.exe- und *conhost.exe-*Prozesse einzuschleusen.<\/p>\n
Ausf\u00fchrlichere technische Informationen sowie Indikatoren f\u00fcr eine Kompromittierung finden Sie im Artikel der Experten auf dem Securelist-Blog<\/a>.<\/p>\n Seit Anfang April wurden mehrere tausend Versuche entdeckt, zus\u00e4tzliche sch\u00e4dliche Payloads \u00fcber infizierte DAEMON Tools-Software zu installieren. Die meisten der infizierten Ger\u00e4te geh\u00f6rten Privatanwendern, doch etwa 10 % der Installationsversuche wurden auf Systemen in Unternehmen entdeckt. Geografisch verteilten sich die Betroffenen auf rund einhundert verschiedene L\u00e4nder und Gebiete. Die meisten befinden sich in Russland, Brasilien, der T\u00fcrkei, Spanien, Deutschland, Frankreich, Italien und China.<\/p>\n Meistens beschr\u00e4nkte sich der Angriff auf die Installation eines Information Collectors. Die Backdoor infizierte nur ein Dutzend Rechner in Regierungs-, Wissenschafts- und Fertigungsorganisationen sowie in Einzelhandelsunternehmen in Russland, Wei\u00dfrussland und Thailand.<\/p>\n Der Schadcode wurde in den Versionen 12.5.0.2421 bis 12.5.0.2434 von DAEMON Tools entdeckt. Die Angreifer haben die Dateien \u201eDTHelper.exe\u201c<\/em>, \u201eDiscSoftBusServiceLite.exe<\/em>\u201c und \u201eDTShellHlp.exe<\/em>\u201c manipuliert, die im Hauptverzeichnis von DAEMON Tools installiert sind.<\/p>\n Wenn DAEMON Tools-Software auf Ihrem Computer (oder an anderer Stelle in Ihrem Unternehmen) verwendet wird, empfehlen unsere Experten, die Computer, auf denen sie installiert ist, ab dem 8. April gr\u00fcndlich auf ungew\u00f6hnliche Aktivit\u00e4ten zu \u00fcberpr\u00fcfen.<\/p>\n Dar\u00fcber hinaus empfehlen wir den Einsatz zuverl\u00e4ssiger Sicherheitsl\u00f6sungen auf allen Heim-<\/a> und gesch\u00e4ftlichen<\/a> Computern, die f\u00fcr den Zugriff auf das Internet genutzt werden. Unsere L\u00f6sungen sch\u00fctzen Benutzer\u201c with \u201eUnsere L\u00f6sungen sch\u00fctzen Nutzer.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Ein gezielter Supply-Chain-Angriff auf eine beliebte Software zur Emulation virtueller Laufwerke.<\/p>\n","protected":false},"author":2706,"featured_media":33452,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[1650,1871,3802],"class_list":{"0":"post-33451","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-malware","11":"tag-rat","12":"tag-supply-chain-angriff"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/daemon-tools-supply-chain-attack\/33451\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/daemon-tools-supply-chain-attack\/30691\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/25743\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/13373\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/daemon-tools-supply-chain-attack\/30542\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/29178\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/daemon-tools-supply-chain-attack\/32085\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/daemon-tools-supply-chain-attack\/30639\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/daemon-tools-supply-chain-attack\/41798\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/daemon-tools-supply-chain-attack\/14496\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/daemon-tools-supply-chain-attack\/55691\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/daemon-tools-supply-chain-attack\/23879\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/daemon-tools-supply-chain-attack\/24956\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/daemon-tools-supply-chain-attack\/30625\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/daemon-tools-supply-chain-attack\/36200\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/daemon-tools-supply-chain-attack\/36093\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/supply-chain-angriff\/","name":"Supply-Chain-Angriff"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33451","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33451"}],"version-history":[{"count":12,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33451\/revisions"}],"predecessor-version":[{"id":33464,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33451\/revisions\/33464"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33452"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33451"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33451"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33451"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Wer ist betroffen?<\/h2>\n
Was genau wurde infiziert?<\/h2>\n
Wie k\u00f6nnen Sie sich sch\u00fctzen?<\/h2>\n