06.05.2026 08:33
☝🏻Daemon Tools раздавал бэкдор через официальные обновления почти месяц Установщики Daemon Tools — популярного приложения для монтирования образов дис…
☝🏻Daemon Tools раздавал бэкдор через официальные обновления почти месяц
Установщики Daemon Tools — популярного приложения для монтирования образов дисков — с 8 апреля распространяли вредоносную нагрузку.
Файлы скачивались с официального сайта разработчика и были подписаны его легитимным цифровым сертификатом.
Затронуты Windows-версии с 12.5.0.2421 по 12.5.0.2434.
Заражённый исполняемый файл запускает закладку при загрузке системы.
🔻Первичная нагрузка собирает MAC-адреса, имена хостов, DNS-домены, список процессов, установленное ПО и системные локали, после чего отправляет всё это на C2-сервер атакующих.💬
Пострадали тысячи машин более чем в 100 странах — в первую очередь Россия, Бразилия, Турция, Испания, Германия, Франция, Италия и Китай.
Около 10% заражённых систем принадлежат организациям.
🔻Самое интересное — следующая стадия.
Дополнительный пейлоад получили лишь ~12 машин в государственных, научных, производственных и ритейл-структурах России, Беларуси и Таиланда.
Это «минималистичный бэкдор», умеющий выполнять команды, скачивать файлы и запускать шеллкод прямо в памяти.
На одной машине российского образовательного учреждения нашли отдельный, более сложный имплант — QUIC RAT.
Он инжектит код в notepad.exe и conhost.exe и поддерживает связь с C2 по HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3.📊
☝🏻☝🏻Точечная доставка второй стадии говорит о целевом характере операции; цели — кибершпионаж или «big game hunting» — пока не определены.
Установщики Daemon Tools — популярного приложения для монтирования образов дисков — с 8 апреля распространяли вредоносную нагрузку.
Файлы скачивались с официального сайта разработчика и были подписаны его легитимным цифровым сертификатом.
Затронуты Windows-версии с 12.5.0.2421 по 12.5.0.2434.
Заражённый исполняемый файл запускает закладку при загрузке системы.
🔻Первичная нагрузка собирает MAC-адреса, имена хостов, DNS-домены, список процессов, установленное ПО и системные локали, после чего отправляет всё это на C2-сервер атакующих.💬
Пострадали тысячи машин более чем в 100 странах — в первую очередь Россия, Бразилия, Турция, Испания, Германия, Франция, Италия и Китай.
Около 10% заражённых систем принадлежат организациям.
🔻Самое интересное — следующая стадия.
Дополнительный пейлоад получили лишь ~12 машин в государственных, научных, производственных и ритейл-структурах России, Беларуси и Таиланда.
Это «минималистичный бэкдор», умеющий выполнять команды, скачивать файлы и запускать шеллкод прямо в памяти.
На одной машине российского образовательного учреждения нашли отдельный, более сложный имплант — QUIC RAT.
Он инжектит код в notepad.exe и conhost.exe и поддерживает связь с C2 по HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3.📊
☝🏻☝🏻Точечная доставка второй стадии говорит о целевом характере операции; цели — кибершпионаж или «big game hunting» — пока не определены.