close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Wer seit dem 8. April die Daemon Tools Lite von der Herstellerwebseite heruntergeladen hat, hat damit Schadsoftware auf den Rechner verfrachtet. Die Installer sind mit den offiziellen digitalen Zertifikaten signiert und wirken zun\u00e4chst unscheinbar. Anscheinend handelt es sich um eine Supply-Chain-Attacke.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Die Virenanalysten von Kaspersky<\/a> sind auf die infizierten Installer gesto\u00dfen. In ihrer Untersuchung f\u00fchren sie aus, dass die Installer seit dem 8. April 2026 trojanisiert wurden \u2013 und das bis jetzt zu den aktuellen Downloads anh\u00e4lt. Anfang Mai sind die IT-Forscher darauf gesto\u00dfen und konnten dann die \u00e4lteren infizierten Installer identifizieren. Betroffen sind demnach die Installer der Daemon Tools und Daemon Tools Lite von Version 12.5.0.2421 bis hin zu 12.5.0.2434. Eine Analyse der Fassung 12.5.0.233b des Lite-Installers auf VirusTotal<\/a> best\u00e4tigt mit einer heuristischen Erkennung von Kaspersky (HEUR:Trojan.Win64.Agent.gen) den Befall der aktuell auf der offiziellen Webseite der Daemon Tools herunterladbaren Dateien<\/a> (Achtung, zum Meldungszeitpunkt noch trojanisierte Downloads!). Kaspersky hat den Hersteller der Daemon Tools, AVB Disc Soft, kontaktiert, jedoch bislang offensichtlich erfolglos.<\/p>\n Die IT-Forscher ordnen aufgrund der Malware-Analyse die Angreifer als chinesisch-sprechend ein. Die Telemetrie der Kaspersky-Sensoren zeigt demnach, dass Individuen und Organisationen aus mehr als 100 L\u00e4ndern die Software zum Hantieren mit Disk-Abbildern wie ISO-Images in infizierter Fassung installiert haben. Von allen betroffenen Maschinen habe jedoch lediglich ein Dutzend weitere Malware-Stufen nachgeladen. Die geh\u00f6rten zu Einzelhandel, Wissenschaft, Beh\u00f6rden und Fertigungsindustrie. Das sei ein Hinweis auf gezielte Angriffe. Die Opfer stammen aus Russland, Brasilien, T\u00fcrkei, Spanien, Deutschland, Frankreich, Italien und China.<\/p>\n Weitergehende Details<\/p>\n Interessierte finden in der Kaspersky-Analyse tiefergehende Details zu Malware und infizierten Dateien. Die Schadsoftware sammelt unter anderem Informationen, darunter Hardwaredaten wie MAC-Adressen oder \u00fcber laufende Prozesse und installierte Software. Eine minimalistische Backdoor bringt sie ebenfalls mit. Am Ende listet Kaspersky eine l\u00e4ngere Liste an Hinweisen auf Infektionen (Indicators of Compromise, IOC).<\/p>\n In j\u00fcngster Zeit kommt es vermehrt zu Angriffen, bei denen die b\u00f6sartigen Akteure Schadcode in sonst vertrauensw\u00fcrdige Software einschleusen. Ende vergangenen Jahres hatte es etwa den m\u00e4chtigen Texteditor Notepad++ getroffen<\/a>. Auch die Webseite CPUID, die die popul\u00e4ren Tools CPU-Z und HWMonitor<\/a> beheimatet, hatte Mitte April Malware verteilt. <\/p>\n
\n English<\/a>.<\/p>\n