Сотрудники «Лаборатории Касперского» выявили масштабную атаку через приложение DAEMON Tools — программное обеспечение для эмуляции оптических приводов. Удивительно, но злоумышленникам удалось внедрить вредоносный код в установщики программы, и все заражённые исполняемые файлы подписаны действительной цифровой подписью AVB Disc Soft — разработчика DAEMON Tools. Удалось выяснить, что троян распространяется с 8 апреля, и на момент написания материала в официальном блоге «Лаборатории Касперского» атака продолжалась.
После установки заражённого приложения при каждом запуске системы активируется вредоносный файл, который отправляет запрос на сервер управления. В ответ сервер может отправить команду на загрузку и выполнение дополнительных вредоносных программ.
Сначала злоумышленники развертывают программу для сбора информации, которая получает MAC-адрес, имя хоста, доменное имя DNS, списки запущенных процессов и установленного программного обеспечения, а также языковые настройки. Далее всё, вероятнее всего, зависит от настроения хакеров. В самом «безобидном» случае атака закончится простым сбором информации. Но есть и другие варианты развития событий. Злоумышленники могут установить дополнительные вредоносные программы, удалённо выполнять необходимые им команды, загружать новые модули в память, а также внедрять вредоносный код в самые обычные процессы, например, notepad.exe.
По информации «Лаборатории Касперского», с начала апреля зафиксировано несколько тысяч попыток установки дополнительных вредоносных программ. Подавляющее большинство устройств — это обычные домашние компьютеры, но 10% относятся к оборудованию, работающему в организациях. География атак оказалась довольно обширной, но чаще всего жертвами становились пользователи из России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китая.
Вредоносный код был обнаружен в версиях DAEMON Tools от 12.5.0.2421 до 12.5.0.2434. Злоумышленники взломали файлы DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe, которые установлены в основной директории DAEMON Tools. Разработчики признали наличие проблемы и выпустили версию 12.6.0.2445, которая не демонстрирует признаков уязвимости.
Специалисты по безопасности рекомендуют тщательно проверить компьютеры, на которых установлено приложение DAEMON Tools, на предмет любой необычной активности, начиная с 8 апреля.
