MalwareHackerangriffeSchwachstellen

DAEMON Tools Installer kompromittiert: Massive Supply-Chain-Attacke mit Malware enthüllt

Von CyberDeutsch Redaktion
DAEMON Tools Installer kompromittiert: Massive Supply-Chain-Attacke mit Malware enthüllt
Zusammenfassung

Die beliebte Virtualisierungssoftware DAEMON Tools ist Ziel eines massiven Supply-Chain-Anschlags geworden, bei dem Kriminelle die offiziellen Installationsdateien mit Malware präpariert haben. Wie Sicherheitsforscher von Kaspersky aufdeckten, wurden die kompromittierten Installer seit dem 8. April 2026 von der legitimen Website des Herstellers AVB Disc Soft verbreitet und mit echten digitalen Zertifikaten der Entwickler signiert – ein entscheidender Aspekt, der die Infektionen monatelang unentdeckt ließ. Die betroffenen Versionen 12.5.0.2421 bis 12.5.0.2434 wurden weltweit heruntergeladen und instaliert, mit Infektionsversuchen in über 100 Ländern dokumentiert. Besonders besorgniserregend ist, dass ein Teil der infizierten Systeme gezielt mit erweiterten Schadsoftwares wie dem QUIC RAT-Trojaner angegriffen wurde – ein Zeichen für gezielte Cyberespionage oder Ransomware-Attacken. Deutsche Nutzer und Unternehmen, die DAEMON Tools installiert haben, könnten ebenfalls betroffen sein. Der Vorfall unterstreicht die wachsende Gefahr von Supply-Chain-Angriffen, da Nutzer vertrauensvoll signierte Software von offiziellen Quellen herunterladen. Sicherheitsexperten empfehlen Organisationen dringend, ihre Systeme sofort zu überprüfen und betroffene Installationen zu isolieren.

Die Manipulation der DAEMON-Tools-Installer erfolgte gezielt und professionell. Kaspersky-Forscher Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko und Anton Kargin dokumentierten, dass drei verschiedene Komponenten der Software trojanisiert wurden. Sobald eine dieser manipulierten Binärdateien – typischerweise beim Systemstart – ausgeführt wird, aktiviert sich ein bösartiges Modul. Dieses sendet HTTP-GET-Anfragen an einen externen Server (“env-check.daemontools[.]cc”), eine am 27. März 2026 registrierte Domain, um Shell-Befehle zu empfangen, die über “cmd.exe” ausgeführt werden.

Das System lädt anschließend zusätzliche Malware-Nutzlasten herunter. Besonders bemerkenswert ist die selektive Infektionsstrategie der Angreifer: Während mehrere Tausend Systeme den initialen Backdoor erhielten, wurde eine zweite Infektionsstufe nur auf etwa ein Dutzend Maschinen verteilt. Diese gehören Unternehmen im Einzelhandel, Wissenschaft, Staat und Fertigung in Russland, Weißrussland und Thailand.

Eine der gelieferten Nutzlasten ist QUIC RAT, ein Remote-Access-Trojaner mit C++-Implant, der nur gegen eine Bildungseinrichtung in Russland eingesetzt wurde. Das Malware-Arsenal unterstützt mehrere C2-Protokolle: HTTP, UDP, TCP, WSS, QUIC, DNS und HTTP/3. Besonders kritisch sind die Capabilities zur Code-Injection in legitime Windows-Prozesse wie “notepad.exe” und “conhost.exe”.

Kaspersky schreibt der Attacke einen chinesischsprachigen Gegner zu, konnte aber keine bekannte Cyberkriminalgruppe zuordnen. Die Intention bleibt unklar – Cyberespionage oder “Big Game Hunting” sind beide möglich.

Georgy Kucherin, Senior Security Researcher bei Kaspersky GReAT, warnt: “Diese Kompromittierung umgeht traditionelle Perimeter-Defenses, weil Nutzer digitaler signierter Software vom offiziellen Anbieter vertrauen. Die Attacke blieb etwa einen Monat lang unentdeckt.” Dies belege die Sophistication des Angreifers.

Für Organisationen, besonders in Deutschland, empfiehlt Kaspersky dringend: Alle Maschinen mit DAEMON Tools isolieren, Sicherheitsprüfungen durchführen und Netzwerk-Segmentierung überprüfen. Das BSI sollte deutsche Behörden und kritische Infrastrukturen warnen. Der Vorfall folgt einer besorgniserregenden Serie von Supply-Chain-Kompromittierungen Anfang 2026 (eScan, Notepad++, CPUID) und unterstreicht die eskalierenden Risiken dieser Angriffsform.

Ähnliche Artikel