Officiële website Daemon Tools verspreidt al wekenlang malware

[Captain Kirk]

De officiële website van emulatiesoftware Daemon Tools verspreidt al wekenlang malware, zo beweert antivirusbedrijf Kaspersky. De virusbestrijder zegt dat het sinds 8 april duizenden infectiepogingen heeft waargenomen, zowel bij eindgebruikers als organisaties in meer dan honderd landen. Daemon Tools is populaire software voor het mounten van disk images.

Binnen de software hebben aanvallers verschillende bestanden aangepast en voorzien van een backdoor. Deze backdoor downloadt bij alle slachtoffers eerst een payload die informatie over het systeem verzamelt. Het gaat dan om zaken als MAC-adres, hostnaam, dns-domeinnaam, overzicht van actieve processen en geïnstalleerde software en systeemgegevens.

Op basis van de verzamelde informatie wordt vervolgens bij een select aantal slachtoffers een tweede payload uitgevoerd. Het gaat om een remote access trojan waarmee de aanvallers volledige toegang tot het systeem hebben. Kaspersky heeft infecties waargenomen in meer dan honderd landen, waarbij de meeste slachtoffers zich bevinden in Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China. Tien procent van de getroffen machines is van organisaties en bedrijven, aldus de virusbestrijder.

Bij de meeste slachtoffers wordt alleen de eerste payload uitgevoerd. De backdoor is bij slechts een tiental machines waargenomen. Het gaat om overheden, wetenschappelijke organisaties, fabrieken en retailorganisaties in Rusland, Wit-Rusland en Thailand, aldus Kaspersky. Wat het doel van de infecties is, is volgens de virusbestrijder nog onduidelijk. Kaspersky zegt dat het de ontwikkelaars van Daemon Tools heeft ingelicht zodat die actie kunnen ondernemen, maar meldt ook dat de supplychain-aanval nog 'ongoing' is

 

bron: https://www.security.nl

[Captain Kirk]

Update: Daemon Tools bevestigt verspreiding van malware via officiële website

Disc Soft Limited, de ontwikkelaar van de populaire emulatiesoftware Daemon Tools, heeft bevestigd dat de officiële website van de tool malware verspreidde. Dinsdag waarschuwde antivirusbedrijf Kaspersky dat aanvallers de software van een backdoor hadden voorzien en dat deze besmette versie wekenlang via de officiële site werd aangeboden. De backdoor downloadt bij alle slachtoffers eerst een payload die informatie over het systeem verzamelt. Het gaat dan om zaken als MAC-adres, hostnaam, dns-domeinnaam, overzicht van actieve processen en geïnstalleerde software en systeemgegevens.

Op basis van de verzamelde informatie wordt vervolgens bij een select aantal slachtoffers een tweede payload uitgevoerd. Het gaat om een remote access trojan waarmee de aanvallers volledige toegang tot het systeem hebben. Bij de meeste slachtoffers wordt alleen de eerste payload uitgevoerd. De backdoor is bij slechts een tiental machines waargenomen. Het gaat om overheden, wetenschappelijke organisaties, fabrieken en retailorganisaties in Rusland, Wit-Rusland en Thailand, aldus Kaspersky. Het werkelijke aantal kan hoger liggen, aangezien het hier alleen om detectie door Kaspersky gaat.

Gisteren kwam Disc Soft Limited met een reactie op het incident. Het softwarebedrijf stelt dat alleen Daemon Tools Lite door de supplychain-aanval is getroffen. Inmiddels wordt de besmette versie niet meer aangeboden en kunnen gebruikers een schone versie downloaden. Gebruikers krijgen van het bedrijf het advies om de besmette applicatie te verwijderen, het systeem door antivirus te laten scannen en dan de nieuwste, schone versie te installeren. Experts en organisaties adviseren geregeld bij een besmetting om het systeem volledig opnieuw te installeren.

Hoe aanvallers de officiële software van malware konden voorzien is nog niet bekendgemaakt. Disc Soft Limited zegt dat het onderzoek naar de aard en omvang van de aanval nog wordt onderzocht. Verder stelt de ontwikkelaar dat de verificatieprocedures worden aangescherpt om herhaling van dergelijke incidenten in de toekomst te voorkomen.

 

bron: https://www.security.nl