Thought Leadership
Ein aktueller Supply-Chain-Angriff auf Daemon Tools sorgt für weltweite Sicherheitsrisiken. Über die offizielle Downloadquelle wurde eine manipulierte Installationsdatei verbreitet, die neben der legitimen Software auch Schadcode enthält. Betroffen sind Nutzer in mehr als 100 Ländern, darunter auch Deutschland.
Manipulierte Daemon-Tools-Installer über offizielle Quelle verteilt
Die Angreifer haben laut Analyse seit dem 8. April 2026 eine kompromittierte Version von Daemon Tools direkt über die offizielle Webseite des Anbieters verbreitet. Dabei wurde ein gültiges digitales Entwicklerzertifikat genutzt, um die Schadsoftware zu verschleiern und Sicherheitslösungen zu umgehen.
Die Entdeckung des Supply-Chain-Angriffs geht auf das Kaspersky Global Research and Analysis Team zurück, das die manipulierten Daemon-Tools-Installer im Rahmen einer laufenden Analyse identifiziert hat. Im Anschluss wurde der Hersteller AVB Disc Soft informiert, um Gegenmaßnahmen einzuleiten und die Verteilung der kompromittierten Installer zu stoppen.
Betroffen sind alle Versionen von Daemon Tools ab 12.5.0.2421.
Daemon Tools als Einfallstor für Schadsoftware
Obwohl Daemon Tools technisch nur geringe Systemrechte benötigt, vergeben viele Anwender während der Installation Administratorrechte. Genau dieser Umstand wurde von den Angreifern ausgenutzt. Die manipulierte Daemon Tools Software führt beim Start schädlichen Code aus und nutzt legitime Windows-Dienste, um sich dauerhaft im System zu verankern. Dadurch erhalten Angreifer tiefen Zugriff auf betroffene Geräte und können diese aus der Ferne steuern.
Globale Verbreitung des Angriffs
Die Telemetriedaten zeigen eine weltweite Ausbreitung der kompromittierten Daemon Tools Installer. Mehr als 100 Länder und Regionen sind betroffen. Besonders häufig wurden Infektionen in Russland, Brasilien, der Türkei, Spanien, Frankreich, Italien, China und Deutschland festgestellt. Rund zehn Prozent der betroffenen Systeme stammen aus Unternehmensumgebungen. Damit steigt das Risiko für Unternehmensnetzwerke, insbesondere im Kontext sensibler IT-Infrastruktur und geschäftskritischer Systeme.
Zielgerichtete Angriffe auf ausgewählte Organisationen
In einzelnen Fällen, unter anderem in Industrieunternehmen, im Einzelhandel sowie in Behörden und Forschungseinrichtungen, konnten zusätzliche manuelle Aktivitäten der Angreifer nachgewiesen werden. Dabei kamen weitere Schadmodule wie Shellcode Injector und bisher unbekannte Remote- Access-Trojaner zum Einsatz. Die Analyse deutet darauf hin, dass bestimmte Ziele gezielt und manuell attackiert wurden.
Sicherheitsrisiko durch kompromittierte Software-Lieferketten
Ein Sicherheitsforscher betont, dass Angriffe auf Daemon Tools besonders kritisch sind, da sie klassische Schutzmechanismen umgehen. Nutzer vertrauen der offiziellen Downloadquelle, wodurch die Infektion zunächst unbemerkt bleibt. Der Angriff blieb rund einen Monat lang aktiv, bevor er entdeckt wurde. Experten gehen daher von einem hochentwickelten Angreifer aus, der über fortgeschrittene Fähigkeiten im Bereich Supply-Chain-Angriffe verfügt.
Empfehlungen zur Absicherung von Daemon Tools und IT-Systemen
Zur Reduzierung von Risiken in der Software-Lieferkette empfehlen Sicherheitsexperten mehrere Maßnahmen:
- Sorgfältige Prüfung von Software-Lieferanten vor dem Einsatz
- Klare Sicherheitsanforderungen in Verträgen mit Dienstleistern
- Umsetzung von Zero Trust- und Least Privilege-Konzepten
- Kontinuierliches Monitoring von Systemen und Netzwerkverkehr
- Erweiterung von Incident Response-Plänen um Supply-Chain-Szenarien
- Enge Abstimmung mit Software-Anbietern bei Sicherheitsvorfällen
Unterstützend können moderne Sicherheitslösungen helfen, kompromittierte Daemon Tools Installer frühzeitig zu erkennen und zu blockieren.
(vp/Kaspersky)
