卡巴斯基通报称,虚拟光驱软件 DAEMON Tools 官网发布的安装包被黑客篡改并替换为带有木马的版本(受影响版本为 12.5.0.2421 至 12.5.0.2434)。尽管安装程序带有 AVB Disc Soft 的数字签名,但内部组件已被修改,属于一次供应链攻击。受影响设备分布于 100 多个国家/地区(以俄罗斯、巴西、土耳其等为主),约 10% 为企业/组织环境。多数被感染设备仅向攻击者发送系统信息,少数高价值目标(政府、科研、制造、零售机构)被进一步植入后门,显示出“广泛传播 + 精准筛选”的攻击策略。
5 月 6 日消息,卡巴斯基昨晚发布安全通报,警告虚拟光驱软件 DAEMON Tools 官网遭黑客投毒,黑客在官网提供的 DAEMON Tools Lite 软件中植入木马,受影响版本包括 4 月 8 日发布的 12.5.0.2421 至最新的 12.5.0.2434 版本。
卡巴斯基表示,其安全部门在检测回传数据中发现异常,多台设备在运行 DAEMON Tools Lite 后,会连接到一个伪装成官方下载安装站点的恶意服务器,并尝试下载额外文件。进一步分析确认,这些安装程序虽然来自官方网站、且带有 AVB Disc Soft 的数字签名,但内部组件已被篡改,因此被认定为是一起“供应链攻击事件”,也就是黑客入侵了产品官网,将正牌软件调包为了木马版本。
研究显示,目前受影响设备分布在全球 100 多个国家和地区,主要集中在俄罗斯、巴西、土耳其、西班牙、德国、法国、中国、意大利。其中约 10% 的受影响系统来自企业或组织环境。
不过,黑客并未对所有受感染设备采取行动,事实上被感染的大多数设备仅会向黑客发送系统信息,只有为数不多的设备被黑客进一步投放后门程序,而设备基本都是来自各国政府、科研、制造及零售机构,显示出黑客可能采取“广泛传播 + 精准筛选”的策略,锁定高价值目标。