С начала апреля через официальные загрузки DAEMON Tools, судя по всему, распространялось вредоносное ПО. Подмененные установщики обнаружили специалисты Kaspersky. Под атаку попали несколько версий популярной программы для эмуляции приводов — от 12.5.0.2421 до 12.5.0.2434. По данным исследователей, на момент публикации даже актуальная версия оставалась скомпрометированной.
Daemon Tools много лет оставалась одним из самых популярных инструментов для монтирования ISO-образов и виртуальных приводов в Windows. Хотя современные версии Windows уже умеют работать с ISO штатными средствами, программа по-прежнему широко известна и активно используется.
Особую опасность, по словам исследователей, представляет тот факт, что зараженные файлы подписали действительным цифровым сертификатом разработчика. Из-за этого установщики выглядели легитимными и могли обходить часть защитных механизмов Windows.
По оценке Kaspersky, речь идет о классической атаке на цепочку поставок (supply-chain attack). В этом случае злоумышленники атакуют не пользователей напрямую, а инфраструктуру разработчика, чтобы распространять вредоносный код через официальные каналы. Исследователи зафиксировали попытки заражения более чем в 100 странах. При этом дальнейшие целевые атаки проводились лишь на ограниченном числе систем.
Вредоносное ПО собирало обширную информацию о системе: MAC-адреса, имя компьютера, домен, список процессов, установленное ПО и язык системы. Кроме того, malware устанавливало бэкдор, через который атакующие могли загружать дополнительную нагрузку. По мнению аналитиков, зараженные ПК сначала проходили профилирование, после чего злоумышленники выбирали наиболее интересные цели для дальнейшей атаки.
Исследователи обнаружили в коде китайские строки и отдельные признаки, указывающие на возможную связь с китайскоязычными группировками. Однако однозначно связать атаку с конкретной APT-группой пока не удалось.
Пользователям, которые устанавливали или обновляли Daemon Tools после 8 апреля, специалисты рекомендуют проверить систему и исходить из потенциальной компрометации. В числе рекомендаций — отключение устройства от сети, смена учетных данных и полная проверка на вредоносное ПО. В чувствительных средах может потребоваться даже переустановка операционной системы.
Инцидент продолжает серию атак на популярных разработчиков ПО. Ранее похожие проблемы затронули утилиты компании CPUID, включая CPU-Z и HWMonitor.