Kaspersky GReAT выявила бэкдор в Daemon Tools на официальном сайте

Специалисты подразделения Kaspersky GReAT зафиксировали компрометацию официального сайта разработчика программного обеспечения Daemon Tools. Хакерская атака на цепочку поставок привела к распространению легитимного дистрибутива, содержащего вредоносный бэкдор.

Масштаб и география инцидента

С начала апреля 2026 года под угрозой оказались пользователи ПО для работы с образами дисков. По имеющимся данным, общее число инфицированных систем превысило две тысячи, при этом инциденты зафиксированы более чем в 100 странах. Россия оказалась наиболее затронутым регионом: на неё приходится около 20% всех случаев заражения. Несмотря на то, что утилита традиционно считается пользовательским продуктом, в 10% случаев вредоносная нагрузка была развернута в корпоративных сетях.

Механика атаки и векторы компрометации

Злоумышленники скомпрометировали цепочку сборки ПО, начиная с версии 12.5.0.2421. Начиная с 8 апреля 2026 года, официальный сайт распространял инсталляторы, подписанные валидным цифровым сертификатом разработчика. Если говорить технически, наличие легитимной подписи позволяет вредоносному коду успешно проходить базовые проверки безопасности операционных систем. Проникновение на хост открывает атакующим возможность дистанционного выполнения произвольных команд, обхода защитных механизмов и интеграции дополнительных модулей.

Целевой характер заражения

Проведенный анализ позволяет разделить атаку на две фазы. В подавляющем большинстве инцидентов основной целью было закрепление в системе и сбор данных. Однако эксперты выявили и более специфический сценарий: сложный бэкдор был обнаружен на ограниченной выборке систем. В эту группу вошли компьютеры государственных структур, научно-исследовательских институтов, производственных площадок и объектов ритейла в России, Беларуси и Таиланде. Такая сегментация нагрузки свидетельствует о том, что злоумышленники использовали массовое заражение как плацдарм для последующих таргетированных действий.Компания AVB Disc Soft, ответственная за разработку Daemon Tools, была уведомлена о нарушении безопасности для организации мер по устранению бэкдора и декомпрометации дистрибутивов. Анализ вредоносного программного обеспечения, использованного в данной кампании, продолжается.