DAEMON Tools confirme une compromission supply-chain et publie un remplacement propre

Disc Soft, l'entreprise à l'origine de DAEMON Tools, a confirmé que des attaquants avaient manipulé son build environment et diffusé des installers trojanisés pour la version gratuite de DAEMON Tools Lite. L'entreprise affirme que la version 12.6, publiée le 5 mai, est propre, tandis que les utilisateurs ayant téléchargé ou installé la version 12.5.1 depuis le 8 avril doivent la désinstaller, lancer un antivirus scan complet et la remplacer par la nouvelle build.

Ce type d'incident supply-chain est important parce qu'il transforme un canal de téléchargement officiel en mécanisme de livraison de l'attaque. Les équipes de sécurité passent beaucoup de temps à apprendre aux utilisateurs à ne pas installer de logiciels depuis des mirrors douteux ou des pièces jointes aléatoires. Dans ce cas, les installers compromis auraient été signés via code-signing et distribués depuis le site légitime de l'éditeur, ce qui fait s'effondrer l'une des hypothèses de confiance les plus élémentaires de la distribution de logiciels desktop.

Selon la déclaration de Disc Soft et les informations de BleepingComputer, la compromission a touché certains packages d'installation au sein de l'infrastructure de l'entreprise, plutôt que l'ensemble des produits DAEMON Tools. L'entreprise précise que les versions payantes de DAEMON Tools Lite, ainsi que DAEMON Tools Ultra et DAEMON Tools Pro, n'ont pas été affectées. La fenêtre d'exposition reste toutefois importante. Des chercheurs de Kaspersky ont indiqué que les installers malveillants étaient disponibles depuis le 8 avril et avaient servi à infecter des systèmes dans plus de 100 pays.

La chaîne de malware semble avoir été sélective plutôt que bruyante. Kaspersky explique que la première étape collectait des détails sur le host à des fins de profiling, notamment les processus en cours, les logiciels installés, la locale et les identifiants réseau. Certains systèmes ont ensuite reçu une backdoor de deuxième étape capable d'exécuter des commandes, de télécharger des fichiers et d'exécuter du code en memory. Dans au moins un cas, les chercheurs ont observé le déploiement de QUIC RAT, qui offre aux attaquants un point d'appui plus durable qu'un simple infostealer à usage unique.

Cela en fait plus qu'une simple note de nettoyage publiée par un vendor logiciel. Lorsqu'un installer signé d'un utilitaire bien connu est weaponize, le problème en aval devient une endpoint investigation. Les organisations doivent désormais traiter toute installation affectée de DAEMON Tools Lite comme une intrusion potentielle, et pas seulement comme un mauvais téléchargement. Cela implique de vérifier les mécanismes de persistence, les connexions sortantes, les payloads de second niveau et tout lateral movement qui aurait pu se produire après l'installation initiale.

Disc Soft affirme avoir sécurisé l'infrastructure concernée, mais l'entreprise n'a pas encore expliqué comment les attaquants sont entrés ni combien de téléchargements ont été touchés. Les défenseurs restent donc face à un angle mort inconfortable, mais familier. Le produit est de nouveau disponible dans une version propre, mais les équipes d'incident response doivent toujours partir du principe qu'il y a eu suffisamment de temps pour une compromission réelle sur le terrain, surtout sur des endpoints non gérés ou faiblement surveillés.

La réponse pratique est simple. Identifiez toute installation gratuite de DAEMON Tools Lite ajoutée ou mise à jour depuis le 8 avril, supprimez la build compromise, analysez ces systèmes et examinez l'endpoint telemetry à la recherche d'une activité liée à des payloads secondaires. Pour les vendors logiciels, la leçon plus large est tout aussi importante. Le code-signing et la distribution officielle ne suffisent pas si la build pipeline elle-même peut être altérée en amont. Comme l'a d'abord rapporté BleepingComputer, cet incident rappelle une nouvelle fois que la sécurité du build system est désormais la sécurité du produit.