Daemon Tools: Monatlanger Supply-Chain-Angriff infizierte Installer mit Backdoor

Ein monatelanger Supply-Chain-Angriff auf die weit verbreitete Disk-Image-Software Daemon Tools hat dazu geführt, dass infizierte Installer über die offiziellen Server des Entwicklers verbreitet wurden. Sicherheitsforscher des IT-Sicherheitsunternehmens Kaspersky berichteten am Dienstag von der Attacke, die seit dem 8. April aktiv ist und zum Zeitpunkt der Veröffentlichung noch andauerte.

Die infizierten Versionen von Daemon Tools (Versionen 12.5.0.2421 bis 12.5.0.2434) enthalten eine Backdoor, die nach der Installation beim Systemstart ausgeführt wird. Die Malware nutzt dabei ein offizielles digitales Zertifikat des Entwicklers, um sich als legitime Software auszugeben. Laut Kaspersky betrifft die Infektion ausschließlich Windows-Systeme.

Die Backdoor sammelt zunächst Systeminformationen wie MAC-Adressen, Hostnamen, DNS-Domänen, laufende Prozesse, installierte Software und Systemeinstellungen. Diese Daten werden anschließend an einen vom Angreifer kontrollierten Server gesendet. Betroffen waren Tausende Rechner in über 100 Ländern. Von den infizierten Systemen erhielten jedoch nur etwa zwölf gezielt eine zweite Schadsoftware – darunter Geräte aus den Bereichen Einzelhandel, Wissenschaft, Regierung und Fertigung. Dies deutet darauf hin, dass der Angriff selektiv hochwertige Ziele anvisierte.

Schwierige Abwehrmaßnahmen

Supply-Chain-Angriffe wie dieser sind besonders tückisch, da die Malware über offizielle Kanäle verteilt wird und schwer von legitimer Software zu unterscheiden ist. Nutzer, die infizierte Versionen installiert haben, sollten ihre Systeme umgehend auf Schadsoftware überprüfen und gegebenenfalls neu installieren. Daemon Tools selbst hat auf Anfrage noch keine Stellungnahme abgegeben.