DAEMON-Tools-Installer wurden in einem Supply-Chain-Angriff trojanisiert und verbreiteten weltweit eine Backdoor

Sicherheitsforscher berichten, dass offizielle Installer von DAEMON Tools seit dem 8. April in einem laufenden Supply-Chain-Angriff trojanisiert wurden und so eine Backdoor auf Tausende Systeme in mehr als 100 Ländern gelangte. Besonders brisant ist, dass die Verteilung offenbar über die offizielle Website erfolgte.

Bekannte Details

Betroffen waren die Versionen 12.5.0.2421 bis 12.5.0.2434. Als schädliche Binärdateien wurden DTHelper.exe, DiscSoftBusServiceLite.exe und DTShellHlp.exe genannt. Die erste Malware-Stufe sammelte Host- und System-Profildaten, während die zweite Stufe Befehle ausführen und weitere Dateien herunterladen konnte.

Einordnung

Nur rund ein Dutzend Systeme erhielt eine zweite Payload, was auf eine gezielte Auswahl nach breit gestreuter Erstinfektion hindeutet. Zu den nachgelagert betroffenen Organisationen gehörten Einrichtungen aus Handel, Wissenschaft, Staat und Fertigung in Russland, Belarus und Thailand. Kaspersky beobachtete in mindestens einem Fall QUIC RAT. Bis zur Veröffentlichung hatte DAEMON Tools den Vorfall nicht kommentiert. Der Fall zeigt erneut, wie wirksam Supply-Chain-Angriffe bleiben, wenn Angreifer das Vertrauen in offizielle Software-Vertriebskanäle ausnutzen.