MalwareHackerangriffeSupply-Chain-Sicherheit

DAEMON Tools von Trojanern befallen: Hacker nutzen Supply-Chain-Angriff für Backdoor-Installation

Von CyberDeutsch Redaktion
DAEMON Tools von Trojanern befallen: Hacker nutzen Supply-Chain-Angriff für Backdoor-Installation
Zusammenfassung

Die beliebte Virtualisierungssoftware DAEMON Tools Lite ist Opfer eines Supply-Chain-Angriffsgeworden. Der Entwickler Disc Soft Limited bestätigte, dass Installationspakete der kostenlosen Version zwischen dem 8. April und 5. Mai trojanisiert wurden und Tausende Nutzer aus über 100 Ländern betroffen sind. Die kompromittierten Versionen 12.5.0.2421 bis 12.5.0.2434 enthielten eine Malware, die nach der Installation ein Backdoor-System aufbaute und zunächst Systemdaten sammelten, um Opfer zu profilieren. Bei ausgewählten Zielen führte dies zur Bereitstellung zusätzlicher Schadsoftware wie dem QUIC RAT. Das Unternehmen reagierte schnell und veröffentlichte die bereinigte Version 12.6 innerhalb von 12 Stunden nach Entdeckung des Problems. Für Deutschland bedeutet dies ein erhebliches Risiko, da DAEMON Tools vor allem in IT-Umgebungen, Medienproduktion und von Privatnutzern verbreitet ist. Deutsche Nutzer, die die Software zwischen diesen Daten heruntergeladen haben, sollten dringend ihr System überprüfen und die aktuelle Version installieren. Das Incident verdeutlicht erneut die Kritikalität von Software-Sicherheit und die Notwendigkeit permanenter Überwachung von Bezugsquellen.

Das Ausmaß des Angriffs wurde erst durch die Analyse von Kaspersky offenbar: Die trojanisierten Installer der Versionen 12.5.0.2421 bis 12.5.0.2434 waren digital signiert und damit vertrauenswürdig erscheinend. Nutzer, die die kompromittierten Dateien ausführten, luden zunächst einen Information-Stealer herunter, der systemrelevante Daten sammelte und an Angreifer-Server übermittelte.

Nach dieser Profiling-Phase erhielten ausgewählte Systeme eine zweite Malware-Stufe – einen leichtgewichtigen Backdoor mit Fernzugriffsfähigkeiten. Besonders besorgniserregend: In mindestens einem dokumentierten Fall entdeckte Kaspersky QUIC RAT, eine Malware, die Code in legitime Prozesse injiziert und mehrere Kommunikationsprotokolle unterstützt.

Disc Soft reagierte schnell: Innerhalb von weniger als 12 Stunden nach Entdeckung des Problems veröffentlichte das Unternehmen Version 12.6, die frei von Malware ist. Laut Hersteller waren ausschließlich die kostenlose DAEMON Tools Lite betroffen; die kostenpflichtigen Versionen Pro und Ultra blieben unversehrt. Das Unternehmen betont, dass die Zahlen der wirklich infizierten Systeme deutlich unter den Download-Zahlen liegen – nicht jeder Download führte zu einer Infektion.

Die betroffenen Länder zeigen ein interessantes Muster: Kaspersky dokumentierte Infektionen bei Einzelnutzern in Deutschland, Frankreich, Italien, Spanien, der Türkei und Brasilien, während Regierungsorganisationen, wissenschaftliche Einrichtungen und Industrieunternehmen in Russland, Weißrussland und Thailand getroffen wurden.

Für deutsche Unternehmensnutzer und Behörden ergibt sich ein Handlungsbedarf: Alle, die DAEMON Tools Lite 12.5.1 seit dem 8. April installiert oder aktualisiert haben, sollten sofort die Version deinstallieren, einen vollständigen System-Scan durchführen und Version 12.6 oder neuer installieren. Kaspersky bestätigte, dass Version 12.6.0.2445 keine verdächtige Aktivität mehr aufweist.

Disc Soft hat die trojanisierte Version aus dem Support genommen und zeigt Nutzern beim Besuch der Download-Seite nun eine Warnung. Eine detaillierte Erklärung des Angriffswegs steht aber noch aus – das Unternehmen untersucht die Infrastruktur weiterhin und hat sie mittlerweile gesichert. Der oder die verantwortlichen Angreifer sind bislang nicht identifiziert.

Ähnliche Artikel