Diskprogrammet Daemon Tools utsatt för bakdörrsattack – tusentals datorer drabbade

Ett av de mest använda programmen för att montera diskavbilder, Daemon Tools, har under en månadlång attack försetts med skadlig kod via utvecklarens egna servrar. Säkerhetsföretaget Kaspersky rapporterade på tisdagen att attacken inleddes den 8 april och fortfarande var aktiv när rapporten publicerades.

De infekterade versionerna av programmet, som är signerade med utvecklarens officiella digitala certifikat och nedladdade direkt från deras webbplats, innehåller skadlig kod som aktiveras redan vid systemstart. Enligt Kaspersky:s tekniska analys drabbas endast Windows-versioner av programmet. De berörda versionerna är 12.5.0.2421 till 12.5.0.2434. Varken Kaspersky eller utvecklaren AVB kunde omedelbart nås för ytterligare kommentarer.

Stor spridning och riktade attacker

Den skadliga koden samlar in information om infekterade system, inklusive MAC-adresser, värdnamn, DNS-domännamn, körande processer, installerad programvara och systeminställningar. Denna information skickas sedan till en server kontrollerad av angriparen. Enligt Kaspersky har tusentals datorer i över 100 länder drabbats av attacken.

Av de infekterade systemen har cirka tolv datorer, tillhörande organisationer inom detaljhandel, forskning, offentlig sektor och tillverkning, fått ytterligare skadlig programvara installerad. Detta tyder på att attacken riktar sig mot specifika mål snarare än en massiv spridning.

Utmaningar för säkerhetsförsvar

Supply-chain-attacker, där angripare infekterar programvara via utvecklarens egna distributionskanaler, är särskilt svåra att upptäcka och försvara sig mot. Eftersom den skadliga koden är signerad med ett officiellt certifikat uppfattas den som legitim av säkerhetssystem. Användare som har installerat de drabbade versionerna av Daemon Tools rekommenderas att omedelbart uppdatera programmet till en säker version och utföra en fullständig systemskanning.