نصابهای نصب DAEMON Tools در حمله supply-chain تروجانسازی شدند و یک backdoor را در سراسر جهان پخش کردند
پژوهشگران امنیتی میگویند نصبکنندههای رسمی DAEMON Tools در یک حمله ongoing supply-chain از تاریخ ۸ آوریل تروجانسازی شدهاند و یک backdoor را به هزاران سیستم در بیش از ۱۰۰ کشور رساندهاند. نکته نگرانکننده این است که آلودگی از مسیر رسمی توزیع نرمافزار انجام شده، نه از یک وبسایت جعلی یا نسخه کرکشده.
جزئیات اصلی
نسخههای آسیبدیده شامل 12.5.0.2421 تا 12.5.0.2434 بودهاند و فایلهای مخرب با نامهای DTHelper.exe، DiscSoftBusServiceLite.exe و DTShellHlp.exe شناسایی شدهاند. مرحله اول malware دادههای پروفایل سیستم و میزبان را جمعآوری میکرد تا مهاجمان بتوانند بین آلودگی گسترده و هدفگیری انتخابی تمایز بگذارند.
چرا مهم است
تنها حدود دوازده دستگاه payload مرحله دوم را دریافت کردند، اما همین موضوع نشان میدهد عملیات احتمالاً گزینشی بوده است. قربانیان مرحله بعدی در بخشهای خردهفروشی، علمی، دولتی و تولیدی در روسیه، بلاروس و تایلند دیده شدهاند. Kaspersky در دستکم یک مورد QUIC RAT را مشاهده کرده و این یعنی مهاجمان در برخی سناریوها به دنبال دسترسی عمیقتر بودهاند. تا زمان انتشار گزارش، DAEMON Tools پاسخی عمومی نداده بود. این پرونده بار دیگر نشان میدهد حملات supply-chain همچنان یکی از موثرترین راههای پخش malware از طریق کانالهای بهظاهر قابل اعتماد هستند.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source