Werbung
Offenbar wird bereits seit Anfang April über die offiziellen Downloads von Daemon Tools gezielt Schadsoftware verbreitet. Entdeckt haben die manipulierten Installationsdateien Sicherheitsforscher von Kaspersky. Betroffen sind demnach mehrere Versionen der bekannten Laufwerk-Emulationssoftware, darunter die Releases 12.5.0.2421 bis 12.5.0.2434. Auch die aktuellste Version soll laut den Sicherheitsanalysten weiterhin kompromittiert sein.
Daemon Tools war über viele Jahre eine weitverbreitete Anwendung zum Einbinden von ISO-Abbildern und anderen virtuellen Laufwerken unter Windows. Moderne Windows-Versionen bieten vergleichbare Funktionen inzwischen zwar auch direkt im Betriebssystem an, dennoch wird die Software weiterhin gerne genutzt und besitzt nach wie vor einen hohen Bekanntheitsgrad.
Besonders problematisch ist laut den Forschern, dass die manipulierten Dateien mit einem gültigen Zertifikat des Herstellers signiert wurden. Dadurch erscheinen die Installationsdateien vertrauenswürdig und können Sicherheitsmechanismen des Betriebssystems umgehen.
Nach Erkenntnissen von Kaspersky handelt es sich um einen sogenannten Supply-Chain-Angriff. Dabei wird nicht der Endnutzer direkt attackiert, sondern die Infrastruktur oder Software eines Herstellers kompromittiert, um Schadcode über offizielle Kanäle zu verbreiten. Die Forscher registrierten zudem Infektionsversuche in mehr als 100 Ländern, darunter auch Deutschland. In mehreren Fällen wurden zusätzlich weiterführende Angriffe auf betroffene Systeme beobachtet.
Die eingeschleuste Malware sammelt umfangreiche Systeminformationen. Dazu zählen MAC-Adressen, Hostnamen, Domain-Informationen, installierte Software, laufende Prozesse und die konfigurierte Systemsprache. Zusätzlich wird eine Backdoor eingerichtet, über die Angreifer weitere Schadsoftware nachladen können. Laut Kaspersky deutet das Vorgehen darauf hin, dass kompromittierte Systeme zunächst analysiert und anschließend gezielt ausgewählt werden.
Die Sicherheitsforscher vermuten aufgrund bestimmter Codefragmente und chinesischer Zeichenketten eine Verbindung zu chinesischen Angreifern. Eine eindeutige Zuordnung zu einer bekannten Hackergruppe konnte bislang jedoch nicht erfolgen.
Anwender, die Daemon Tools seit dem 8. April installiert oder aktualisiert haben, sollten ihre Systeme überprüfen und im Zweifel von einer Kompromittierung ausgehen. Sicherheitsexperten empfehlen, betroffene Rechner vom Netzwerk zu trennen, Zugangsdaten zu ändern und vollständige Malware-Scans durchzuführen. In sensiblen Umgebungen kann auch eine Neuinstallation des Betriebssystems notwendig werden.
Der Vorfall reiht sich in eine Serie ähnlicher Angriffe auf bekannte Softwareanbieter ein. Erst vor kurzem waren auch Anwendungen des Hardware-Tools-Entwicklers CPUID betroffen, darunter CPU-Z und HWMonitor.
