downloadfan
Kaspersky heeft een actieve aanval ontdekt op de officiële website van Daemon Tools, een veelgebruikte software voor virtuele schijven. Bij het downloaden van het installatiebestand wordt ongemerkt kwaadaardige software meegestuurd. Daardoor kunnen aanvallers computers op afstand overnemen en opdrachten uitvoeren.
De besmette software wordt sinds 8 april 2026 verspreid via de officiële website van de leverancier. De malware zit verstopt in een geldige digitale ondertekening, waardoor het bestand op het eerste gezicht betrouwbaar lijkt. De aanval treft Daemon Tools-versie 12.5.0.2421 en alle latere versies tot en met de huidige release. Kaspersky heeft de maker van Daemon Tools op de hoogte gebracht.
Daemons Tools-software heeft diepgaande toegang tot het systeem nodig om goed te werken. Tijdens de installatie krijgen gebruikers daarom vaak beheerdersrechten. Juist daardoor kan malware zich diep in de computer nestelen. Aanvallers hebben legitieme programmabestanden aangepast, zodat schadelijke code wordt uitgevoerd zodra het programma start. Ook is een legitieme Windows-service misbruikt om de besmetting actief te houden.
Volgens Kaspersky is de besmette software wereldwijd gedownload in meer dan 100 landen en gebieden. De meeste slachtoffers bevinden zich in Rusland, Brazilië, Turkije, Spanje, Duitsland, Frankrijk, Italië en China.
Ongeveer 10% van de getroffen systemen behoort toe aan bedrijven en organisaties. Dat maakt de aanval extra gevaarlijk, omdat ook bedrijfsnetwerken risico lopen.
Bij een kleine groep systemen, vooral binnen de detailhandel, wetenschap, overheid en maakindustrie, zagen onderzoekers dat aanvallers handmatig extra malware installeerden. Daarbij ging het onder meer om een shellcode-injector en nieuwe Remote Access Trojans (RAT’s). De fouten en typfouten in de opdrachten wijzen erop dat dit gericht en handmatig gebeurde. Hoewel er Chinese taalsporen zijn gevonden, is nog niet bekend wie achter de aanval zit.
“Deze aanval is extra gevaarlijk, omdat gebruikers software van een officiële bron meestal automatisch vertrouwen,” zegt Georgy Kucherin van Kaspersky GReAT. “Daardoor bleef de aanval op Daemon Tools ongeveer een maand onopgemerkt. Dat laat zien dat de aanvaller geavanceerd te werk gaat. Organisaties doen er goed aan systemen met Daemon Tools te isoleren en extra beveiligingscontroles uit te voeren.”
Kaspersky detecteert en blokkeert de besmette installatiebestanden inmiddels actief. Organisaties wordt geadviseerd hun netwerk te controleren op Daemon Tools Lite, getroffen apparaten los te koppelen en te letten op verdachte opdrachten of bewegingen binnen het netwerk. Gebruikers wordt aangeraden de software direct te verwijderen en een volledige virusscan uit te voeren.
Na de melding heeft de leverancier een nieuwe versie uitgebracht. In versie 12.6.0.2445 zit het kwaadaardige gedrag niet meer.
Kaspersky adviseert organisaties ook om extra maatregelen te nemen tegen dit soort aanvallen:
- controleer software van derden goed voor gebruik;
- gebruik strenge inkoop- en veiligheidsregels;
- geef gebruikers zo min mogelijk beheerdersrechten;
- bewaak systemen continu op verdachte activiteiten;
- werk incidentplannen regelmatig bij.
Eater
