DAEMON Tools «подменили» на официальном сайте: как работает атака и что проверить на своём ПК

Kaspersky опубликовала разбор атаки на цепочку поставок (supply chain), в которой злоумышленники внедрили вредоносную нагрузку в установщики популярной Windows‑программы для работы с образами дисков DAEMON Tools. Ключевая проблема в том, что заражённые файлы распространялись с официального сайта и были подписаны цифровыми сертификатами разработчика — то есть выглядели «настоящими» даже для внимательных пользователей.

Что именно произошло

По данным исследователей, «троянизированные» установщики начали появляться с 8 апреля 2026 года, и на момент публикации отчёта активность ещё наблюдалась. Компрометации подверглись версии DAEMON Tools в диапазоне 12.5.0.2421–12.5.0.2434.

Внутри таких установок были изменены несколько исполняемых файлов (в отчёте перечислены DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe). Важно, что они находились в стандартной папке установки (например, C:\Program Files\DAEMON Tools Lite) и при этом оставались подписанными сертификатами компании‑разработчика. Это типичная тактика supply chain‑атак: пользователь делает всё «правильно» — скачивает с официального сайта — а риск всё равно остаётся.

Почему атака выглядит массовой, но при этом с «выбором целей»

Телеметрия показала тысячи попыток развернуть вредоносную нагрузку через скомпрометированные сборки. Затронуты пользователи и организации более чем в 100 странах и территориях; среди стран, где жертв было больше, упоминаются Россия, Бразилия, Турция, Испания, Германия, Франция, Италия и Китай.

При этом исследователи отмечают интересную деталь: на большинстве заражённых компьютеров злоумышленники ограничивались более простым «сборщиком информации», а более сложный бэкдор наблюдался только примерно на дюжине машин — в том числе в госструктурах и организациях из научной, производственной и розничной сфер (в отчёте выделены Россия, Беларусь и Таиланд). Такой разборчивый подход часто говорит о том, что массовое заражение используется как «широкий вход», а затем выбираются наиболее интересные цели.

Чем это неприятно для обычного пользователя

У подобных инцидентов есть два практических последствия:

• Доверие к «официальной загрузке» падает. Если злоумышленники смогли подменить установщик на сайте разработчика, то привычный совет «качайте только с официального сайта» перестаёт быть достаточным.
• Риск не ограничивается одной программой. Бэкдор — это «дверь» для установки следующих компонентов. То есть история может начаться с утилиты для образов дисков, а закончиться кражей данных, доступов или установкой другого вредоносного ПО.

Что имеет смысл проверить (без паники и лишней техничности)

Если DAEMON Tools установлен у вас дома или в компании, логика проверки простая:

• Посмотрите версию программы. В зоне риска — 12.5.0.2421–12.5.0.2434, особенно если установка/обновление происходили после 8 апреля 2026.
• Проведите полную проверку антивирусом/EDR и не ограничивайтесь «быстрым сканированием» — в таких атаках важны следы в системе.
• Для организаций: проверьте рабочие станции, где DAEMON Tools ставили «по привычке» (например, для работы с образами), и поднимите журналы событий/сетевую активность начиная с 8 апреля 2026 года.

Сценарий, который встречается чаще всего: программу ставят «на минутку», затем забывают, а последствия проявляются спустя недели — уже когда дополнительная нагрузка успела закрепиться.

Почему разработчикам и админам стоит сделать выводы

Такие кейсы — хороший повод пересмотреть базовые правила установки ПО в компании:

• вести инвентаризацию: что именно установлено на рабочих местах и зачем;
• ограничивать установку «вспомогательных» утилит без согласования;
• использовать централизованные источники и контроль целостности поставок, где это возможно.

Атаки на цепочку поставок опасны тем, что бьют не по «неосторожным», а по тем, кто действует аккуратно и по инструкции. Поэтому главный практический вывод — не только в том, чтобы выбирать правильный источник загрузки, но и в том, чтобы уметь быстро обнаруживать последствия, если источник внезапно оказался скомпрометирован.