- 26,532
- 46
- 8 Ноя 2022
Скрытый наблюдатель уже вовсю изучает содержимое вашего жёсткого диска.
Злоумышленники подменили часть официальных установщиков DAEMON Tools Lite и превратили привычный канал загрузки программы в инструмент для кибершпионажа. Опасность атаки усиливалась тем, что заражённые файлы были подписаны легитимными цифровыми сертификатами разработчика, поэтому базовые проверки безопасности могли пропускать вредоносный код.
По данным «Лаборатории Касперского», атака началась 8 апреля 2026 года и затронула установщики DAEMON Tools Lite версий с 12.5.0.2421 по 12.5.0.2434. Злоумышленники, предположительно, получили доступ к процессу сборки AVB Disc Soft и внедрили вредоносный код в несколько исполняемых файлов, включая DTHelper.exe, DTShellHlp.exe и DiscSoftBusServiceLite.exe.
После запуска заражённой программы скрытый бэкдор активировался на этапе инициализации и создавал отдельный поток для связи с доменом env-check.daemontools[.]cc. Домен зарегистрировали 27 марта, незадолго до начала атаки. Сервер управления мог передавать команды для выполнения через cmd.exe, а в отдельных случаях злоумышленники запускали PowerShell для загрузки следующих вредоносных компонентов.
Первым этапом служил файл envchk.exe, написанный на .NET . Компонент собирал сведения о системе, включая MAC-адрес, имя хоста, DNS-домен, список запущенных процессов и установленных программ. В коде нашли строки на китайском языке, но специалисты пока не связывают кампанию с конкретной группировкой.
Массовое заражение не означало автоматическую установку всех модулей. Из тысяч пострадавших систем злоумышленники выбрали примерно десяток целей для ручной установки загрузчика cdg.exe. Компонент расшифровывал полезную нагрузку RC4 прямо в памяти и позволял выполнять команды. Ошибки в командах операторов указывают на ручную работу атакующих в реальном времени.
Самый сложный модуль, получивший название QUIC RAT, обнаружили только в одной образовательной организации в России. Троян удалённого доступа написан на C++, сильно обфусцирован и поддерживает QUIC, DNS и HTTP/3. Для скрытности вредоносный код внедрялся в легитимные процессы Windows, включая notepad.exe и conhost.exe.
Заражённые установщики попали к пользователям и компаниям более чем в 100 странах. Больше всего случаев зафиксировали в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Продвинутые модули, по данным авторов отчёта, применялись точечно в рамках кибершпионажа против организаций из розничной торговли, науки, госсектора и промышленности.
Злоумышленники подменили часть официальных установщиков DAEMON Tools Lite и превратили привычный канал загрузки программы в инструмент для кибершпионажа. Опасность атаки усиливалась тем, что заражённые файлы были подписаны легитимными цифровыми сертификатами разработчика, поэтому базовые проверки безопасности могли пропускать вредоносный код.
По данным «Лаборатории Касперского», атака началась 8 апреля 2026 года и затронула установщики DAEMON Tools Lite версий с 12.5.0.2421 по 12.5.0.2434. Злоумышленники, предположительно, получили доступ к процессу сборки AVB Disc Soft и внедрили вредоносный код в несколько исполняемых файлов, включая DTHelper.exe, DTShellHlp.exe и DiscSoftBusServiceLite.exe.
После запуска заражённой программы скрытый бэкдор активировался на этапе инициализации и создавал отдельный поток для связи с доменом env-check.daemontools[.]cc. Домен зарегистрировали 27 марта, незадолго до начала атаки. Сервер управления мог передавать команды для выполнения через cmd.exe, а в отдельных случаях злоумышленники запускали PowerShell для загрузки следующих вредоносных компонентов.
Первым этапом служил файл envchk.exe, написанный на .NET . Компонент собирал сведения о системе, включая MAC-адрес, имя хоста, DNS-домен, список запущенных процессов и установленных программ. В коде нашли строки на китайском языке, но специалисты пока не связывают кампанию с конкретной группировкой.
Массовое заражение не означало автоматическую установку всех модулей. Из тысяч пострадавших систем злоумышленники выбрали примерно десяток целей для ручной установки загрузчика cdg.exe. Компонент расшифровывал полезную нагрузку RC4 прямо в памяти и позволял выполнять команды. Ошибки в командах операторов указывают на ручную работу атакующих в реальном времени.
Самый сложный модуль, получивший название QUIC RAT, обнаружили только в одной образовательной организации в России. Троян удалённого доступа написан на C++, сильно обфусцирован и поддерживает QUIC, DNS и HTTP/3. Для скрытности вредоносный код внедрялся в легитимные процессы Windows, включая notepad.exe и conhost.exe.
Заражённые установщики попали к пользователям и компаниям более чем в 100 странах. Больше всего случаев зафиксировали в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Продвинутые модули, по данным авторов отчёта, применялись точечно в рамках кибершпионажа против организаций из розничной торговли, науки, госсектора и промышленности.
- Источник новости
- www.securitylab.ru
