La société Disc Soft Limited, éditrice de DAEMON Tools Lite, a annoncé avoir détecté une compromission via une attaque par chaîne d’approvisionnement. Une version propre du logiciel est désormais disponible.
Confirmation officielle et mesures prises
Dans un communiqué récent, Disc Soft Limited précise avoir renforcé la sécurité de son infrastructure après une enquête interne. Les paquets d’installation ont été altérés dans l’environnement de build, affectant certaines versions. La mouture 12.6 de DAEMON Tools Lite, sortie le 5 mai, est exempte de tout code malveillant.
Les autres produits de la gamme, tels que les versions payantes de DAEMON Tools Lite, DAEMON Tools Ultra et DAEMON Tools Pro, ne présentent aucun risque. Les utilisateurs ayant téléchargé la version gratuite 12.5.1 depuis le 8 avril doivent désinstaller l’application, effectuer un scan complet avec un antivirus, puis installer la dernière édition depuis le site officiel.
Détails techniques révélés par Kaspersky
La société de cybersécurité Kaspersky a exposé l’opération le mardi précédent : des installateurs falsifiés de DAEMON Tools Lite ont infecté des milliers d’ordinateurs dans plus de 100 pays. Ces fichiers, signés numériquement (versions de 12.5.0.2421 à 12.5.0.2434), déploient un premier payload qui vole des informations système comme le nom d’hôte, l’adresse MAC, les processus actifs, les logiciels installés et la configuration régionale.
Ces données servent à profiler les victimes avant l’injection d’un backdoor léger capable d’exécuter des commandes, de télécharger des fichiers et d’injecter du code en mémoire. Dans un cas observé, un QUIC RAT a été déployé, utilisant divers protocoles de communication pour persister et injecter du malcode dans des processus légitimes.
Profils des victimes
Les infections touchent des entreprises du commerce de détail, de la recherche scientifique, du secteur public et de l’industrie manufacturière en Russie, au Bélarus et en Thaïlande. Des particuliers en Russie, au Brésil, en Turquie, en Espagne, en Allemagne, en France, en Italie et en Chine figurent aussi parmi les cibles.
Kaspersky confirme que la version 12.6.0.2445 ne montre plus d’activité malveillante suite à la réaction rapide de l’éditeur.