Ad imageAd image
Aktualności

Popularny Daemon Tools pod kontrolą hakerów – tysiące Windowsów z infekcją szpiegowską

Czytany 23.8K razy
Czas czytania 7 min

W skrócie

Grupa powiązana z chińskimi hakerami zainfekowała oficjalne instalatory Daemon Tools dla Windows, zamieniając je w nośnik zaawansowanego malware i szpiegowskich backdoorów. Według raportu Kaspersky tysiące komputerów w ponad 100 krajach instalowały złośliwy kod prosto z „zaufanej” strony producenta, przy czym szczególnie celowane były sieci firmowe i instytucje publiczne. Użytkownicy z najnowszymi wersjami Daemon Tools powinni natychmiast odinstalować program i przeskanować system dobrym antywirusem.

Spis treści

Gdy „zaufana” strona staje się źródłem infekcji

Daemon Tools to jedno z najbardziej znanych narzędzi do emulowania napędów CD/DVD w systemie Windows, wykorzystywane od lat m.in. do montowania obrazów ISO. W kwietniu 2026 r. ten wizerunek zaufanego, klasycznego programu został jednak poważnie naruszony – oficjalna strona producenta zaczęła dystrybuować instalatory z wstrzykniętym złośliwym kodem.

Według ustaleń Kaspersky atak trwał co najmniej od 8 kwietnia 2026 r., a jego ofiarami padły komputery w ponad 100 krajach. Co istotne, użytkownicy pobierali pliki z legalnej domeny i z podpisem cyfrowym firmy AVB Disc Soft (dewelopera Daemon Tools), więc dla większości osób i wielu antywirusów całość wyglądała na całkowicie bezpieczną. To podręcznikowy przykład ataku na łańcuch dostaw – zamiast tworzyć fałszywą stronę, atakujący przejmują elementy oficjalnej infrastruktury i „zatruwają” legalny produkt.

Jeśli używasz Windowsa na co dzień, możesz sprawdzić podstawowe informacje o zabezpieczeniach systemu na oficjalnej stronie Microsoft.

Jak wyglądał atak na Daemon Tools krok po kroku

Badacze z Kaspersky ustalili, że zainfekowane zostały instalatory Daemon Tools w wersjach od 12.5.0.2421 do 12.5.0.2434. Do tych plików dodano złośliwy komponent, a całość została ponownie podpisana ważnym certyfikatem AVB Disc Soft, przez co instalator nie budził podejrzeń ani u użytkowników, ani u wielu narzędzi ochronnych.

Po instalacji Daemon Tools na komputerze uruchamiały się trzy dodatkowe pliki systemowe, które zaczynały wykonywać nietypowe operacje. Przy każdym starcie systemu jeden z nich łączył się z zewnętrznym serwerem C2 (command and control) kontrolowanym przez atakujących i pobierał z niego instrukcje. Pierwszym zadaniem złośliwego modułu było zebranie szczegółowych informacji o komputerze, takich jak:

  • adres MAC,
  • nazwa komputera,
  • lista zainstalowanych aplikacji,
  • aktualnie uruchomione procesy,
  • ustawienia językowe i inne parametry systemu.

Te dane służyły do selekcji – hakerzy decydowali, które maszyny warto „rozwinąć” w pełnoprawne cele ataku. Na wybranych komputerach instalowano kolejne elementy, m.in. backdoor zdolny do wstrzykiwania kodu w procesy systemu Windows, co otwiera drogę do podglądu, kradzieży danych czy dalszej infekcji.

Masowa infekcja jako filtr do szpiegowania „ważnych” celów

Choć zainfekowane instalatory pobierano globalnie, z raportu Kaspersky wynika, że prawdziwym celem nie był zwykły domowy użytkownik. Około 10% infekcji dotyczyło sieci firmowych i instytucjonalnych, w tym systemów:

  • agencji rządowych,
  • jednostek badawczych,
  • firm z sektora przemysłowego.

Szczególnie mocno atakowane były organizacje w Rosji, na Białorusi i w Tajlandii, gdzie odnotowano wdrożenie najbardziej zaawansowanych backdoorów. Szeroka, masowa dystrybucja przez popularny program – taki jak Daemon Tools – była w praktyce mechanizmem przesiewowym: najpierw infekuje się wielu, a następnie wybiera z tego grona najbardziej wartościowe cele.

Kaspersky zwraca uwagę na techniczne podobieństwa tego ataku do wcześniejszych kampanii przypisywanych grupom powiązanym z chińskim rządem, co sugeruje operację cybernetycznego szpiegostwa o dużej skali. Z perspektywy użytkownika w Hiszpanii, Polsce czy innym kraju oznacza to, że nawet pozornie „zwykły” program może stać się narzędziem w międzynarodowej grze wywiadowczej.

Czy Twój komputer mógł zostać zainfekowany?

Jeżeli korzystasz z Daemon Tools na Windows, kluczowe są dwie kwestie:

  • czy pobierałeś program z oficjalnej strony w ostatnich tygodniach,
  • którą wersję masz zainstalowaną.

Zagrożone są przede wszystkim instalacje z linii 12.5.0.24xx, konkretnie od 12.5.0.2421 do 12.5.0.2434. Jeśli w tym czasie instalowałeś lub aktualizowałeś Daemon Tools, istnieje realne ryzyko, że zainstalowany został także złośliwy moduł.

Według dostępnych informacji, wersje dla innych systemów operacyjnych (np. macOS) nie wydają się być objęte atakiem – dotyczy on właśnie linii instalatorów przeznaczonych dla Windows. To jednak nie oznacza, że można zignorować problem, szczególnie jeśli używasz programu w środowisku firmowym lub mieszasz prywatne i służbowe dane na jednym urządzeniu.

Co zrobić, jeśli masz Daemon Tools na Windows

Firma AVB Disc Soft potwierdziła w rozmowie z serwisem TechCrunch, że jest świadoma ataku i traktuje go jako sprawę „najwyższego priorytetu”. Mimo to w momencie publikacji raportu Kaspersky zainfekowane instalatory nadal były dostępne do pobrania z oficjalnej strony. Z tego powodu zalecenia są bardzo jednoznaczne.

Jeżeli masz zainstalowane Daemon Tools na Windows i nie masz pewności, z jakiej wersji korzystasz:

  1. Natychmiast odinstaluj Daemon Tools z systemu.
  2. Przeskanuj komputer aktualnym programem antywirusowym i narzędziem do wykrywania malware / backdoorów.
  3. Upewnij się, że Windows Update jest włączony i system posiada najnowsze łatki bezpieczeństwa – szczegółowe informacje znajdziesz na oficjalnej stronie Windows.
  4. Jeżeli komputer jest częścią sieci firmowej, jak najszybciej powiadom dział IT lub osobę odpowiedzialną za bezpieczeństwo.

W środowiskach biznesowych warto rozważyć dodatkowe kroki, takie jak monitorowanie ruchu sieciowego pod kątem podejrzanych połączeń wychodzących czy przegląd listy zainstalowanych programów na stacjach roboczych.

Dlaczego ataki na łańcuch dostaw są tak groźne

Ataki na łańcuch dostaw oprogramowania – takie jak ten na Daemon Tools – są szczególnie niebezpieczne, bo uderzają w sam fundament zaufania między użytkownikiem a producentem. Do tej pory dobrym nawykiem było: „pobieraj wyłącznie z oficjalnej strony dewelopera” – tutaj właśnie ta oficjalna strona stała się źródłem zagrożenia.

Ponieważ instalator jest podpisany legalnym certyfikatem i dystrybuowany przez zaufany kanał, klasyczne mechanizmy ochronne (sprawdzanie źródła, unikanie nieznanych stron) często zawodzą. To zmusza użytkowników i firmy do bardziej zaawansowanych strategii:

  • wykorzystania rozwiązań EDR/XDR monitorujących zachowanie aplikacji,
  • regularnego audytu oprogramowania zainstalowanego w organizacji,
  • śledzenia komunikatów producentów i firm bezpieczeństwa (takich jak Kaspersky) w sprawie incydentów.

Atak na Daemon Tools to czytelny sygnał, że bezpieczeństwo nie kończy się na sprawdzeniu „czy to na pewno oficjalna strona”, zwłaszcza w świecie, w którym coraz więcej aplikacji aktualizuje się automatycznie.

Podsumowanie

Incydent z Daemon Tools jest jednym z tych przypadków, które na lata wstrząsają zaufaniem do popularnych narzędzi – bo pokazuje, że nawet „legendarne” programy dla Windows mogą stać się wektorem zaawansowanych ataków szpiegowskich. Z perspektywy zwykłego użytkownika najważniejsze jest teraz: sprawdzić, czy Daemon Tools jest zainstalowany, usunąć go, jeśli pochodzi z zagrożonej serii, i porządnie przeskanować system.

Czy warto wracać do tego programu w przyszłości? To zależy od tego, jak firma AVB Disc Soft poradzi sobie z naprawą procesu bezpieczeństwa i jak będzie komunikować się z użytkownikami. W krótkiej perspektywie rozsądnie jest postawić na ostrożność, korzystać z silnego antywirusa oraz rozważyć alternatywne narzędzia – zwłaszcza jeśli pracujesz w środowisku biznesowym lub obsługujesz wrażliwe dane.

Liczba wyświetleń: 23 791