Entwicklung & Code
Daemon Tools: Mit Malware verseuchte Downloads
Wer seit dem 8. April die Daemon Tools Lite von der Herstellerwebseite heruntergeladen hat, hat damit Schadsoftware auf den Rechner verfrachtet. Die Installer sind mit den offiziellen digitalen Zertifikaten signiert und wirken zunächst unscheinbar. Anscheinend handelt es sich um eine Supply-Chain-Attacke.
Weiterlesen nach der Anzeige
Die Virenanalysten von Kaspersky sind auf die infizierten Installer gestoßen. In ihrer Untersuchung führen sie aus, dass die Installer seit dem 8. April 2026 trojanisiert wurden – und das bis jetzt zu den aktuellen Downloads anhält. Anfang Mai sind die IT-Forscher darauf gestoßen und konnten dann die älteren infizierten Installer identifizieren. Betroffen sind demnach die Installer der Daemon Tools und Daemon Tools Lite von Version 12.5.0.2421 bis hin zu 12.5.0.2434. Eine Analyse der Fassung 12.5.0.233b des Lite-Installers auf VirusTotal bestätigt mit einer heuristischen Erkennung von Kaspersky (HEUR:Trojan.Win64.Agent.gen) den Befall der aktuell auf der offiziellen Webseite der Daemon Tools herunterladbaren Dateien (Achtung, zum Meldungszeitpunkt noch trojanisierte Downloads!). Kaspersky hat den Hersteller der Daemon Tools, AVB Disc Soft, kontaktiert, jedoch bislang offensichtlich erfolglos.
Die IT-Forscher ordnen aufgrund der Malware-Analyse die Angreifer als aus China stammend ein. Die Telemetrie der Kaspersky-Sensoren zeigt demnach, dass Individuen und Organisationen aus mehr als 100 Ländern die Software zum Hantieren mit Disk-Abbildern wie ISO-Images in infizierter Fassung installiert haben. Von allen betroffenen Maschinen habe jedoch lediglich ein Dutzend weitere Malware-Stufen nachgeladen. Die gehörten zu Einzelhandel, Wissenschaft, Behörden und Fertigungsindustrie. Das sei ein Hinweis auf gezielte Angriffe. Die Opfer stammen aus Russland, Brasilien, Türkei, Spanien, Deutschland, Frankreich, Italien und China.
Weitergehende Details
Interessierte finden in der Kaspersky-Analyse tiefergehende Details zu Malware und infizierten Dateien. Die Schadsoftware sammelt unter anderem Informationen, darunter Hardwaredaten wie MAC-Adressen oder über laufende Prozesse und installierte Software. Eine minimalistische Backdoor bringt sie ebenfalls mit. Am Ende listet Kaspersky eine längere Liste an Hinweisen auf Infektionen (Indicators of Compromise, IOC).
In jüngster Zeit kommt es vermehrt zu Angriffen, bei denen die bösartigen Akteure Schadcode in sonst vertrauenswürdige Software einschleusen. Ende vergangenen Jahres hatte es etwa den mächtigen Texteditor Notepad++ getroffen. Auch die Webseite CPUID, die die populären Tools CPU-Z und HWMonitor beheimatet, hatte Mitte April Malware verteilt.
(dmk)