Офіційні інсталятори відомого програмного забезпечення для емуляції дисків DAEMON Tools були скомпрометовані в межах масштабної атаки на ланцюг постачання. Зловмисники зуміли підмінити легітимні файли на офіційному сайті програми на троянізовані версії. Користувачі, які завантажували софт з 8 квітня, несвідомо встановлювали на свої комп’ютери бекдор. Шкідливий компонент впроваджується в систему під час стандартного процесу інсталяції та активується після перезавантаження, надаючи хакерам можливість завантажувати додаткові модулі для крадіжки паролів.

Технічний аналіз показав, що шкідливий код замаскований під легітимну бібліотеку динамічного компонування. Після запуску програма встановлює зв’язок із командним сервером, використовуючи зашифровані HTTPS-запити, щоб не привертати увагу систем захисту. Кількість постраждалих систем оцінюється у тисячі, оскільки DAEMON Tools залишається популярним інструментом серед геймерів та ІТ-фахівців. Це вже не перший випадок, коли хакери використовують довіру до відомих брендів ПЗ для масового розповсюдження вірусів, минаючи периметри безпеки через “чорний хід” у перевіреному софті.