Daemon Tools: Offizielle Downloads enthalten seit Wochen Malware
Wer sich schon etwas länger mit IT beschäftigt, kennt sicherlich noch das Laufwerk-Emulationstool Daemon Tools. Sicherheitsforscher von Kaspersky haben festgestellt(öffnet im neuen Fenster), dass die zugehörigen Downloads auf der Website des Entwicklers schon seit Wochen mit Schadcode verseucht sind. Wer das Tool seit dem 8. April heruntergeladen hat, sollte sein System als kompromittiert betrachten.
Früher war Daemon Tools eine gängige Software, um unter Windows beispielsweise .iso-Dateien als virtuelle Laufwerke einzubinden. Heutige Windows-Versionen bieten jedoch selber eine entsprechende Funktion, so dass Daemon Tools in den letzten Jahren an Bedeutung verloren hat. Einen hohen Bekanntheitsgrad hat das Tool aber noch immer.
Eine laufende Malware-Kampagne
Die seit dem 8. April veröffentlichten Daemon-Tools-Versionen 12.5.0.2421 bis einschließlich 12.5.0.2434 sind laut Kaspersky kompromittiert und sogar mit einem gültigen Zertifikat des Entwicklers signiert. Betroffen sind laut Bericht der Forscher jeweils die Binärdateien DTHelper.exe, DiscSoftBusServiceLite.exe und DTShellHlp.exe.
Einem Angreifer gelang es wohl, unbemerkt eine Malware einzuschleusen. Auch die derzeit neueste Version von Daemon Tools soll noch entsprechend manipuliert sein, wie der Sicherheitsforscher Will Dormann auf Mastodon bestätigt(öffnet im neuen Fenster). Die Kaspersky-Forscher sprechen ebenfalls von einer laufenden Angriffskampagne.
Auch deutsche Nutzer betroffen
Die Forscher geben an, über ihre Telemetriedaten Tausende von Infektionsversuchen festgestellt zu haben. Sowohl Einzelpersonen als auch Organisationen aus über 100 Ländern sollen betroffen sein – darunter auch Deutschland. Bei etwa einem Dutzend der weltweit betroffenen Systeme wurden sogar weiterführende Angriffsaktivitäten beobachtet. Die Forscher sprechen daher von einem zielgerichteten Supply-Chain-Angriff.
Ziel der Malware ist es den Angaben zufolge, Systeminformationen zu sammeln und eine Backdoor bereitzustellen. Ausgeleitet werden unter anderem Mac-Adressen, Hostnamen, Domains, die Systemsprache und Listen auf dem jeweiligen System installierter und aktuell ausgeführter Software. Kaspersky geht davon aus, dass diese Daten genutzt werden, um Angriffsopfer gezielt auszuwählen und dann einen zusätzlichen Trojaner nachzuladen.
Wer sich für weitere Details zu der Kampagne interessiert, findet diese im Bericht von Kaspersky(öffnet im neuen Fenster). Die Forscher fanden chinesische Zeichenketten im Code der Malware. Einer konkreten Hackergruppe konnte die Malware-Kampagne aber wohl noch nicht zugeordnet werden. Einen vergleichbaren Vorfall gab es erst kürzlich bei CPUID, dem Entwickler von CPU-Z und HWMonitor.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.