De officiële website van emulatiesoftware Daemon Tools verspreidt al wekenlang malware, zo beweert antivirusbedrijf Kaspersky. De virusbestrijder zegt dat het sinds 8 april duizenden infectiepogingen heeft waargenomen, zowel bij eindgebruikers als organisaties in meer dan honderd landen. Daemon Tools is populaire software voor het mounten van disk images.

Binnen de software hebben aanvallers verschillende bestanden aangepast en voorzien van een backdoor. Deze backdoor downloadt bij alle slachtoffers eerst een payload die informatie over het systeem verzamelt. Het gaat dan om zaken als MAC-adres, hostnaam, dns-domeinnaam, overzicht van actieve processen en geïnstalleerde software en systeemgegevens.

Op basis van de verzamelde informatie wordt vervolgens bij een select aantal slachtoffers een tweede payload uitgevoerd. Het gaat om een remote access trojan waarmee de aanvallers volledige toegang tot het systeem hebben. Kaspersky heeft infecties waargenomen in meer dan honderd landen, waarbij de meeste slachtoffers zich bevinden in Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China. Tien procent van de getroffen machines is van organisaties en bedrijven, aldus de virusbestrijder.

Bij de meeste slachtoffers wordt alleen de eerste payload uitgevoerd. De backdoor is bij slechts een tiental machines waargenomen. Het gaat om overheden, wetenschappelijke organisaties, fabrieken en retailorganisaties in Rusland, Wit-Rusland en Thailand, aldus Kaspersky. Wat het doel van de infecties is, is volgens de virusbestrijder nog onduidelijk. Kaspersky zegt dat het de ontwikkelaars van Daemon Tools heeft ingelicht zodat die actie kunnen ondernemen, maar meldt ook dat de supplychain-aanval nog 'ongoing' is