Daemon Tools: Offizielle Installer seit April mit Malware verseucht
Wer zwischen dem 8. April und dem 5. Mai 2026 die Windows-Version von Daemon Tools von der offiziellen Herstellerwebsite heruntergeladen hat, hat sehr wahrscheinlich Malware installiert. Kaspersky hat einen laufenden Supply-Chain-Angriff auf das verbreitete Disk-Emulations-Tool aufgedeckt, bei dem die Installer direkt auf der legitimen Herstellerseite durch präparierte Versionen ersetzt wurden.
Was ist passiert?
Unbekannte Angreifer haben die offiziellen Windows-Installer von Daemon Tools kompromittiert. Betroffen sind die Versionen 12.5.0.2421 bis 12.5.0.2434. Alle manipulierten Dateien sind mit einem gültigen digitalen Zertifikat des Herstellers AVB Disc Soft signiert. Das macht sie für Sicherheitslösungen und Nutzer praktisch nicht von legitimen Downloads zu unterscheiden.
Konkret wurden drei ausführbare Kerndateien manipuliert: DTHelper.exe, DiscSoftBusServiceLite.exe und DTShellHlp.exe. Bei jedem Systemstart verbinden diese sich mit einem Command-and-Control-Server unter der Domain env-check.daemontools[.]cc, die die Angreifer bereits am 27. März 2026 registriert haben. Über diesen Server werden Shell-Befehle ausgeführt und weitere Payloads nachgeladen.
Welche Schäden drohen?
Der erste Schritt der Malware ist ein Informationssammler. Er zieht MAC-Adresse, Hostname, DNS-Domain, laufende Prozesse, installierte Software und Spracheinstellungen ab und schickt sie an die Angreifer. Auf Basis dieser Daten entscheiden die Täter, ob ein System für weitergehende Angriffe interessant ist.
Für ausgewählte Ziele wird in einem zweiten Schritt eine einfache Backdoor nachgeladen, die Befehle ausführen und Dateien herunterladen kann. In mindestens einem bestätigten Fall bei einer russischen Bildungseinrichtung wurde ein fortgeschrittenes Remote-Access-Tool namens QUIC RAT eingesetzt. Dieses unterstützt mehrere Kommunikationsprotokolle (HTTP, TCP, DNS, QUIC) und kann Code direkt in legitime Systemprozesse einschleusen.
Disk-Emulations-Software erhält bei der Installation typischerweise Administratorrechte. Das ermöglicht der Malware, sich tief im Betriebssystem zu verankern.
Kaspersky verzeichnet Tausende von Infektionsversuchen in mehr als 100 Ländern. Rund 10 Prozent der betroffenen Systeme gehören Unternehmen. Besonders im Visier: Organisationen aus den Bereichen Behörden, Produktion, Wissenschaft und Einzelhandel.
Patch verfügbar
Am 5. Mai 2026 hat AVB Disc Soft die Version 12.6.0.2445 veröffentlicht, die die manipulierten Dateien nicht mehr enthält. Der Hersteller bestätigt den Vorfall, hat die kompromittierten Dateien aus der Distribution entfernt und die Build-Pipeline überprüft.
Dieser Vorfall ist Teil einer deutlich zunehmenden Welle von Supply-Chain-Angriffen. Es ist bereits der vierte derartige Fall, den Kaspersky allein im Jahr 2026 dokumentiert hat, nach vergleichbaren Kompromittierungen bei eScan, Notepad++ und CPUID. Angreifer setzen gezielt auf das Vertrauen, das Nutzer digital signierten Programmen von offiziellen Quellen entgegenbringen. Dieser Vertrauensvorschuss macht Supply-Chain-Angriffe besonders gefährlich: Klassische Abwehrmaßnahmen wie das Meiden unseriöser Download-Quellen greifen hier nicht.
- Prüfen, ob Daemon Tools Windows in einer Version zwischen 12.5.0.2421 und 12.5.0.2434 installiert ist, oder ob das Programm zwischen dem 8. April und dem 5. Mai 2026 installiert oder aktualisiert wurde.
- Betroffene Systeme sofort vom Netzwerk trennen, um C2-Kommunikation und laterale Bewegung zu verhindern.
- Daemon Tools vollständig deinstallieren.
- Vollständigen Systemscan mit aktueller Sicherheitssoftware durchführen.
- Auf ungewöhnliche Prozessaktivitäten achten, insbesondere PowerShell-Aufrufe oder ausgehende Verbindungen zu unbekannten Hosts.
