Специалисты Kaspersky GReAT обнаружили вредоносный код в официальных установщиках программы DAEMON Tools. По данным исследователей, атака на цепочку поставок продолжалась с 8 апреля 2026 года, а заражённые версии распространялись прямо через сайт разработчика.
Проблема затронула версии DAEMON Tools с 12.5.0.2421 по 12.5.0.2434. После установки программа могла подключать к системе скрытый бэкдор, связываться с управляющим сервером злоумышленников и загружать дополнительные вредоносные модули.
Основной сценарий атаки выглядел как сбор информации об устройстве. Однако в отдельных случаях злоумышленники разворачивали более сложный бэкдор QUIC RAT, способный загружать файлы, выполнять код и внедряться в системные процессы. По данным Kaspersky, такой вредонос использовался против ограниченного числа целей, включая одну образовательную организацию в России.
Всего специалисты зафиксировали тысячи попыток заражения более чем в 100 странах. Среди пострадавших — как обычные пользователи, так и компании. Больше всего случаев обнаружили в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае.
Исследователи считают атаку целевой: хотя заражения были массовыми, более сложные вредоносные инструменты устанавливались лишь на небольшую часть устройств — преимущественно в организациях из сфер науки, госуправления, производства и ритейла.
После уведомления со стороны Kaspersky компания AVB Disc Soft подтвердила проблему и выпустила обновление DAEMON Tools 12.6.0.2445, в котором вредоносная функциональность была удалена.
Эксперты рекомендуют удалить старые версии программы, проверить систему на наличие подозрительной активности и провести аудит безопасности, особенно если DAEMON Tools устанавливался после 8 апреля. Для компаний также советуют изолировать потенциально заражённые устройства.
В Kaspersky отмечают, что это уже не первый подобный инцидент в 2026 году: ранее атакам через цепочку поставок подвергались eScan, Notepad++ и CPU-Z. По мнению исследователей, злоумышленники всё чаще используют популярное и доверенное ПО как способ массового проникновения в системы.
