Disc Soft Limited, de ontwikkelaar van de emulatiesoftware Daemon Tools, heeft bevestigd dat via de officiële website malware werd verspreid. Antivirusbedrijf Kaspersky waarschuwde dat een backdoor was toegevoegd aan de software, die wekenlang via de officiële site beschikbaar was.

De backdoor installeerde bij alle getroffen systemen eerst een payload die systeeminformatie verzamelde, zoals MAC-adres, hostnaam, DNS-domeinnaam, actieve processen, geïnstalleerde software en andere systeemgegevens. Op basis van deze informatie werd bij een beperkt aantal slachtoffers een tweede payload geactiveerd, een remote access trojan die volledige toegang tot het systeem gaf. Deze tweede payload werd slechts bij een tiental systemen aangetroffen, waaronder overheidsinstanties, wetenschappelijke organisaties, fabrieken en retailbedrijven in Rusland, Wit-Rusland en Thailand. Het daadwerkelijke aantal slachtoffers kan hoger zijn, aangezien de detectie alleen door Kaspersky is vastgesteld.

Disc Soft Limited gaf aan dat alleen Daemon Tools Lite door deze supplychain-aanval getroffen is. De besmette versie wordt inmiddels niet meer aangeboden en gebruikers kunnen een schone versie downloaden. Het bedrijf adviseert gebruikers om de besmette software te verwijderen, het systeem te scannen met antivirussoftware en daarna de nieuwste, schone versie te installeren. Experts raden bij dergelijke besmettingen vaak aan het systeem volledig opnieuw te installeren.

Hoe de aanvallers erin slaagden malware aan de officiële software toe te voegen, is nog niet bekend. Disc Soft Limited onderzoekt de aard en omvang van de aanval en stelt dat de verificatieprocedures worden aangescherpt om herhaling te voorkomen. Meer informatie over het incident is te vinden in de reactie van Disc Soft Limited.