"Лаборатория Касперского" обнаружила кибератаку на разработчика Daemon Tools
Эксперты Глобального центра исследования и анализа угроз "Лаборатории Касперского" (Kaspersky GReAT) выявили кибератаку на вендора Daemon Tools. С начала апреля 2026 г7 через официальный сайт разработчика распространяется легитимное ПО с бэкдором внутри. Речь идет об одной из самых известных программ для работы с образами дисков.
К настоящему моменту зафиксировано свыше 2 тыс. заражений более чем в 100 странах, причем значительная часть пострадавших устройств - 20% - находится в России. Хотя Daemon Tools широко используется частными пользователями, около 10% всех затронутых систем в мире являются корпоративными.
Злоумышленники скомпрометировали программное обеспечение Daemon Tools, начиная с версии 12.5.0.2421 и вплоть до текущей. Они активно распространяют зараженное ПО, подписанное действительным цифровым сертификатом разработчика, с 8 апреля 2026 г. Если загрузить эту программу на устройство, оно будет заражено бэкдором, который позволяет атакующим обходить стандартные средства защиты, выполнять произвольные команды и развертывать дополнительные вредоносные программы на компьютере.
"Инцидент с Daemon Tools в очередной раз подтверждает, что кибератаки через цепочки поставок ПО остаются актуальной угрозой для организаций и пользователей по всему миру. Компрометация такого рода опасна тем, что пользователи доверяют программам с цифровой подписью, скачанным напрямую от официального поставщика, - комментирует Леонид Безвершенко, старший эксперт Kaspersky GReAT. - В большинстве случаев на устройства доставлялась только вредоносная нагрузка, предназначенная для сбора информации. Другой, более сложный бэкдор, был обнаружен лишь на десятке компьютеров государственных, научных, производственных организаций и предприятий розничной торговли, расположенных в России, Беларуси и Таиланде. Такой способ развертывания бэкдора на небольшой подгруппе зараженных компьютеров явно указывает на то, что атака таргетированная. Мы продолжаем исследовать эту активность и ВПО, использованное в кампании".
"Лаборатория Касперского" связалась с компанией AVB Disc Soft - разработчиком Daemon Tools - для принятия дальнейших мер по устранению последствий атаки. Обновление от 6 мая 2026 г.: после получения информации о заражении вендор подтвердил наличие проблемы и выпустил обновленную версию программного обеспечения. В релизе 12.6.0.2445 исключена вредоносная функциональность, описанная в этом материале.
Решения "Лаборатории Касперского" обеспечивают своевременное обнаружение и защиту от подобных угроз. Учитывая сложность кибератаки, организациям крайне важно тщательно проверить компьютеры, на которых было установлено ПО Daemon Tools, на наличие аномальной активности 8 апреля или после этой даты. Частным пользователям следует незамедлительно удалить зараженную программу, если она была загружена, и выполнить тщательное сканирование системы.