Эксперты Kaspersky GReAT обнаружили, что через официальный сайт разработчика DAEMON Tools распространяется легитимная программа для работы с бэкдором внутри. Заражённый софт подписан действительным цифровым сертификатом разработчика и распространяется с 8 апреля 2026 года начиная с версии 12.5.0.2421.
Скомпрометированный установщик выполняет вредоносный код при запуске процесса и использует легитимный сервис Windows для закрепления в системе. Поскольку DAEMON Tools требует расширенных прав администратора, вредонос получает глубокий доступ к операционной системе.
Специалисты зафиксировали свыше двух тысяч заражений в более чем 100 странах, при этом 20% пострадавших устройств приходится на Россию. Отмечается, что около 10% всех затронутых устройств оказались корпоративными.
В большинстве случаев жертвы получали вредонос для кражи данных. Примерно на десяти машинах развернули более сложный бэкдор — в государственных, научных, производственных организациях и компаниях розничной торговли в России, Беларуси и Таиланде. Это указывает на нацеленный характер атаки: сначала широкое заражение, затем выборочная доработка интересующих злоумышленников целей.
Среди вредоносных имплантов обнаружены артефакты на китайском языке, однако кампания пока не приписана ни одной известной хакерской группе.
«Лаборатория Касперского» уведомила разработчика AVB Disc Soft. Пользователям рекомендуется удалить текущую версию программы и провести полную проверку системы.
