Officiële website Daemon Tools verspreidt al wekenlang malware

In dit artikel:

Antivirusbedrijf Kaspersky meldt dat de officiële website van het veelgebruikte mountprogramma Daemon Tools sinds 8 april besmet is en via gekapte installateurs malware verspreidt. In duizenden waarnemingen in meer dan honderd landen downloadt een ingebedde backdoor eerst een eerste payload die systeminformatie verzamelt (MAC-adres, hostnaam, DNS, actieve processen, geïnstalleerde software, enz.). Op basis van die gegevens krijgt een kleine, geselecteerde groep slachtoffers een tweede payload: een remote access trojan waarmee volledige toegang tot het systeem mogelijk is.

De meeste besmettingen blijven beperkt tot de eerste, detector-achtige payload; de volledige backdoor-installatie is Kaspersky zufolge alleen op ongeveer tien machines aangetroffen, onder meer bij overheidsinstanties, onderzoeksorganisaties, fabrieken en retailbedrijven in Rusland, Wit‑Rusland en Thailand. In totaal situeerden de meeste aangetaste apparaten zich in Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China; circa 10% van de getroffen systemen behoort tot organisaties of bedrijven. Kaspersky heeft de ontwikkelaars van Daemon Tools geïnformeerd, maar waarschuwt dat het supply-chain-incident nog gaande is.

Kort uitgelegd: dit is een supply-chain-aanval waarbij legitieme distributiekanalen zijn misbruikt om malware te leveren, wat vooral gevaarlijk is omdat ook bedrijven en kritieke organisaties worden bereikt. Gebruikers en beheerders wordt aangeraden voorlopig geen bestanden van de officiële site te vertrouwen, updates en downloads bij de producent te verifiëren en systemen met actuele beveiligingssoftware te scannen totdat de ontwikkelaar een schone herstelactie heeft bevestigd.