Кибератака через Daemon Tools: что произошло
В мае 2026 года «Лаборатория Касперского» обнаружила масштабную кибератаку через популярное ПО для работы с образами дисков — Daemon Tools. Злоумышленники внедрили вредоносный код в установщики программы, которые распространялись с официального сайта разработчика AVB Disc Soft с 8 апреля 2026 года.
Как работала атака
Хакеры скомпрометировали три исполняемых файла в Daemon Tools:
- DTHelper.exe;
- DiscSoftBusServiceLite.exe;
- DTShellHlp.exe.
Эти файлы имели действующую цифровую подпись разработчика — из‑за этого Windows воспринимала их как доверенные.
После установки заражённой версии программы при каждом запуске системы активировался бэкдор. Он отправлял запрос на внешний командный сервер, а в ответ получал команды для загрузки дополнительных вредоносных компонентов.
Какие вредоносные компоненты использовались
Эксперты выявили три типа модулей:
- Сборщик информации (envchk.exe). Программа на платформе .NET собирала:
- MAC‑адрес сетевой карты;
- имя хоста;
- DNS‑имя домена;
- список запущенных процессов;
- перечень установленного ПО;
- язык системы.
- Минималистичный бэкдор (cdg.exe и cdg.tmp). Этот компонент:
- загружал дополнительные вредоносные файлы;
- выполнял команды в системной оболочке;
- запускал шеллкод‑модули в памяти.
- Троян QUIC RAT. Обнаружен лишь на одном компьютере в российском учебном заведении. Его особенности:
- поддерживает семь протоколов связи с управляющим сервером: HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3;
- способен внедрять вредоносный код в системные процессы notepad.exe и conhost.exe.
Масштабы и география заражения
На момент обнаружения атаки зафиксировано:
- более 2 тысяч заражений;
- затронуты более 100 стран.
Лидеры по количеству заражений:
- Россия (около 20 % пострадавших устройств);
- Бразилия;
- Турция;
- Испания;
- Германия;
- Франция;
- Италия;
- Китай.
Около 10 % заражённых систем относились к корпоративному сектору. При этом серьёзный бэкдор был обнаружен лишь на десятке компьютеров — в организациях:
- государственного сектора;
- науки;
- производства;
- розничной торговли.
Заражённые организации расположены в России, Беларуси и Таиланде. Это указывает на таргетированный характер атаки: сначала широкое заражение, затем выборочная доработка интересных целей.
Цели атаки
На момент обнаружения цель оставалась неясной. Эксперты предполагают два основных варианта:
- кибершпионаж (сбор конфиденциальных данных у организаций);
- подготовка к вымогательству (например, с использованием шифровальщиков).
Действия «Лаборатории Касперского» и разработчика
«Лаборатория Касперского»:
- связалась с AVB Disc Soft для устранения последствий атаки;
- предоставила рекомендации по защите.
Представитель Disc Soft заявил:
«Наша команда уделяет этому вопросу первостепенное внимание и активно работает над оценкой и устранением проблемы. На данном этапе мы не можем подтвердить конкретные детали, упомянутые в публикации. Однако мы предпринимаем все необходимые шаги для устранения любых потенциальных рисков и обеспечения безопасности наших пользователей».
Рекомендации экспертов
Для организаций:
- Изолировать компьютеры, на которых Daemon Tools была установлена после 8 апреля 2026 года.
- Провести проверку на наличие аномальной активности (например, обращений к подозрительным доменам).
- Проверить наличие подозрительных файлов: envchk.exe, cdg.exe, cdg.tmp и других.
- Обновить антивирусные базы и провести полное сканирование сети.
Для частных пользователей:
- Удалить заражённую версию Daemon Tools.
- Запустить тщательное сканирование системы с помощью антивирусного ПО.
- Сменить пароли от важных учётных записей, если есть подозрение на утечку данных.
- В будущем загружать программы только из официальных источников и проверять цифровые подписи.
Этот инцидент подчёркивает растущую угрозу атак на цепочку поставок ПО. Злоумышленники компрометируют разработчиков популярного софта и распространяют вредоносное ПО через официальные каналы — даже цифровая подпись не гарантирует безопасности.
