Laut Disc Soft beschränkt sich der Vorfall auf die kostenlose Variante von DAEMON Tools Lite. In einer gesonderten Stellungnahme erklärte das Unternehmen, es habe nach einer internen Untersuchung einen unbefugten Eingriff in die eigene Infrastruktur festgestellt. Dadurch seien bestimmte Installationspakete in der Build-Umgebung verändert und in kompromittiertem Zustand veröffentlicht worden. Version 12.6 von DAEMON Tools Lite, die die mutmaßlich manipulierten Dateien nicht enthält, wurde am 5. Mai veröffentlicht.

Nutzer der übrigen Produkte – darunter die kostenpflichtigen Ausgaben von DAEMON Tools Lite, DAEMON Tools Ultra und DAEMON Tools Pro – sind nach Angaben des Herstellers nicht betroffen und können ihre Software weiterverwenden. Das Unternehmen erklärte zudem, seine Infrastruktur abgesichert zu haben, hat den Angriff bislang aber keinem konkreten Akteur zugeordnet und auch noch nicht offengelegt, über welchen Weg die Angreifer Zugang zu den Systemen erlangten. Die Untersuchung dauert an.

Wer DAEMON Tools Lite in der kostenlosen Version 12.5.1 seit dem 8. April heruntergeladen oder installiert hat, sollte die Anwendung entfernen, das System vollständig mit einer Sicherheits- oder Antivirensoftware prüfen und die aktuelle Version 12.6 von der offiziellen Website installieren. Die trojanisierte Fassung wurde entfernt und wird nicht mehr unterstützt; stattdessen erscheint nun ein Warnhinweis, der zur Installation der aktuellen Version auffordert.

Kaspersky hatte den Angriff aufgedeckt: Demnach versahen die Angreifer die Installer mit Schadcode und nutzten sie, um seit dem 8. April Tausende Systeme aus mehr als 100 Ländern mit einer Hintertür zu versehen, die die Software über die offizielle Website bezogen hatten. Nachdem ahnungslose Nutzer die digital signierten, manipulierten Installer (Versionen von 12.5.0.2421 bis 12.5.0.2434) ausgeführt hatten, brachte der eingebettete Schadcode eine Komponente aus, die sich dauerhaft einnistete und beim Systemstart eine Hintertür aktivierte.

Die erste Stufe der Schadsoftware war ein einfacher Informationsdieb, der Systemdaten wie Hostname, MAC-Adresse, laufende Prozesse, installierte Software und Spracheinstellungen sammelte und an Server der Angreifer übermittelte, um Opfer zu profilieren. Anhand der Ergebnisse erhielten einige der infizierten Systeme eine zweite Stufe: eine schlanke Hintertür, die Befehle ausführen, Dateien herunterladen und Code direkt im Arbeitsspeicher ausführen kann. In mindestens einem Fall beobachtete Kaspersky den Einsatz der Schadsoftware QUIC RAT, die Schadcode in legitime Prozesse einschleusen und mehrere Kommunikationsprotokolle nutzen kann.

Zu den Opfern zählten laut Kaspersky Organisationen aus Handel, Wissenschaft, Verwaltung und Fertigung in Russland, Belarus und Thailand sowie Privatnutzer in Russland, Brasilien, der Türkei, Spanien, Deutschland, Frankreich, Italien und China. In einer Aktualisierung seines Berichts bestätigte das russische Sicherheitsunternehmen, dass die tags zuvor veröffentlichte Version DAEMON Tools Lite 12.6.0.2445 kein schädliches Verhalten mehr zeigt.