原文:Popular DAEMON Tools software infected – supply chain attack ongoing since April 8, 2026
发生了什么?
2026 年 5 月上旬,我们发现用于挂载磁盘映像的 DAEMON Tools 软件的安装程序受到恶意负载的攻击。这些安装程序从 DAEMON Tools 的合法网站分发,并使用属于 DAEMON Tools 开发人员的数字证书进行签名。我们的分析显示,软件安装程序从 2026 年 4 月 8 日开始就已被木马化。具体来说,我们发现 DAEMON Tools 的版本范围从 12.5.0.2421 到 12.5.0.2434 受到损害。在撰写本文时,供应链攻击仍然活跃。在观察到的恶意植入中发现了表明此次攻击背后的威胁行为者是讲中文的人为因素。我们联系了DAEMON Tools的开发公司AVB Disc Soft,以便采取进一步行动来补救攻击后果。
从 4 月初开始,我们在遥测中观察到数千起涉及 DAEMON Tools 的感染尝试,100 多个国家的个人和组织受到影响。然而,在所有受感染的机器中,我们观察到只有十几台机器部署了进一步阶段的有效负载。这些接收更多有效负载的机器属于零售、科学、政府和制造组织——这表明供应链攻击是有针对性的。
卡巴斯基解决方案保护其用户免受通过 DAEMON Tools 供应链攻击部署的恶意负载的侵害。
木马二进制文件
我们的分析显示,对于从 12.5.0.2421 到 12.5.0.2434 的 DAEMON Tools 版本,攻击者已设法破坏软件安装内的以下二进制文件:
DTHelp.exe;
DiscSoftBusServiceLite.exe;
DTShellHlp.exe。
这些文件位于 DAEMON Tools 的安装目录中,例如 C:\Program Files\DAEMON Tools Lite。值得注意的是,这些文件是由 DAEMON Tools 的开发者 AVB 进行数字签名的