Cyberatak na miliony komputerów. DAEMON Tools stało się bronią hakerów

Popularne narzędzie DAEMON Tools Lite padło ofiarą groźnego ataku na łańcuch dostaw (supply-chain attack). Przez niemal miesiąc oficjalna strona serwowała użytkownikom darmową wersję programu wzbogaconą o groźnego trojana, który otwiera hakerom tylną furtkę do systemu Windows.

Cichy atak na miliony użytkowników: Co się stało?

Firma Disc Soft Limited oficjalnie potwierdziła, że jej flagowy produkt, DAEMON Tools Lite, został przejęty przez hakerów. Od 8 kwietnia 2026 roku cyberprzestępcy zdołali podmienić oficjalne instalatory na wersje zawierające złośliwy kod. Sytuacja jest o tyle poważna, że zainfekowane pliki podpisano autentycznymi certyfikatami deweloperskimi. To sprawiło, że większość programów antywirusowych uznawała je za całkowicie bezpieczne.

DAEMON Tools to legenda oprogramowania, która lata świetności przeżywała w pierwszej dekadzie XXI wieku jako narzędzie do emulacji napędów optycznych. Mimo że współczesny Windows radzi sobie z obrazami ISO natywnie, program wciąż cieszy się dużą popularnością w specyficznych środowiskach IT oraz wśród graczy korzystających ze starszych tytułów.

Od kradzieży danych po pełną kontrolę: Mechanizm działania malware

Według raportów bezpieczeństwa, m.in. serwisu Bleeping Computer, atak przebiegał wieloetapowo:

• Pierwsza faza (Information Stealer): Malware gromadził szczegółowe dane o zainfekowanym systemie, w tym nazwy hostów, uruchomione procesy, adresy MAC oraz listę zainstalowanego oprogramowania. Dane te służyły do selekcji najatrakcyjniejszych celów.
• Druga faza (Backdoor): Na wybranych komputerach hakerzy instalowali „tylną furtkę”, umożliwiającą zdalne wykonywanie komend i uruchamianie kodu bezpośrednio w pamięci RAM.
• Trzecia faza (Trojan RAT): U najbardziej prestiżowych ofiar, takich jak instytucje naukowe czy agencje rządowe w Rosji, Białorusi i Tajlandii, wykryto zaawansowanego trojana zdalnego dostępu. Pozwala on na pełne przejęcie kontroli nad maszyną i kradzież poufnych dokumentów.

Zagrożenie dotyczy wersji DAEMON Tools Lite o numerach build od 12.5.0.2421 do 12.5.0.2434.

Jak sprawdzić, czy jesteś ofiarą i jak zabezpieczyć system?

Producent zareagował na incydent i 5 maja 2026 roku wydał w pełni oczyszczoną wersję programu o numerze 12.6. Jeśli instalowałeś DAEMON Tools Lite w darmowej wersji po 8 kwietnia, musisz podjąć natychmiastowe kroki:

1. Odinstaluj program: Usuń podejrzaną wersję z Panelu Sterowania.
2. Pełny skan antywirusowy: Eksperci z Kaspersky zalecają dokładne sprawdzenie systemu zaktualizowanym oprogramowaniem ochronnym.
3. Zainstaluj bezpieczną wersję: Pobierz najnowsze wydanie (12.6) wyłącznie z oficjalnej strony producenta.

Warto zaznaczyć, że płatne edycje DAEMON Tools Pro oraz DAEMON Tools Ultra, są całkowicie bezpieczne. Choć sprawców nie udało się jeszcze oficjalnie zidentyfikować, analiza kodu wskazuje na grupy chińskojęzyczne.

Incydent z DAEMON Tools Lite to kolejne przypomnienie, że nawet pobieranie oprogramowania z oficjalnych źródeł nie gwarantuje stuprocentowego bezpieczeństwa. Ataki na łańcuch dostaw są niezwykle trudne do wykrycia, ponieważ wykorzystują zaufanie pokładane w znanych markach. W dobie zagrożeń typu Supply Chain, regularne aktualizacje i czujność wobec uprawnień aplikacji są kluczowe dla ochrony prywatności.