Le logiciel Daemon Tools a été victime d’une attaque de la chaîne d’approvisionnement. Depuis le 8 avril 2026, des versions malveillantes du programme sont distribuées via le site officiel. Elles intègrent une porte dérobée capable de contrôler les machines infectées.
Les chercheurs en sécurité de Kaspersky ont mis au jour une attaque d’envergure visant les utilisateurs de Daemon Tools, un logiciel très utilisé pour émuler des lecteurs optiques.
En compromettant le site de l’éditeur letton AVB Disc Soft, les hackers « ont réussi à injecter du code malveillant dans les installateurs du logiciel », rapporte l’éditeur de sécurité. Ces fichiers étaient équipés d’une signature numérique valide. Ils sont restés en ligne pendant près d’un mois. Cette faille a touché plusieurs milliers de machines à travers une centaine de pays, dont la France.
Pour aller plus loinMicrosoft confirme que Windows Defender suffit sur Windows 11 : voici dans quels cas un antivirus tiers reste utile
Une infection silencieuse au cœur de Windows
L’attaque cible spécifiquement les versions Windows de Daemon Tools. Les moutures concernées vont de la 12.5.0.2421 à la 12.5.0.2434. La déclinaison pour Mac n’est pas touchée, précise TheHackerNews.
L’injection malveillante altère trois fichiers exécutables installés dans le répertoire principal du logiciel : DTHelper.exe, DiscSoftBusServiceLite.exe et DTShellHlp.exe. Et puisque Daemon Tools nécessite des privilèges d’administration élevés, le malware s’ancre très profondément dans le système d’exploitation.
Ces fichiers se lancent au démarrage de l’ordinateur et à ce moment un contact est établi avec un serveur externe de commande et de contrôle. La première étape de l’infection consiste à déployer un collecteur d’informations. Ce module effectue une analyse structurée de la cible :
Vos mots de passe sont ils vraiment en sécurité ?
Ne confiez plus vos données à n’importe qui. Avec Proton Pass, profitez d’un gestionnaire de mot de passe qui respecte VRAIMENT votre vie privée.
il exfiltre les adresses MAC.
il récupère les noms d’hôtes et des domaines DNS.
il collecte des listes des processus en cours d’exécution et des logiciels installés.
il récupère les paramètres de langue du système.
Par la suite « le serveur peut envoyer l’instruction de télécharger et d’exécuter des charges utiles malveillantes supplémentaires », explique le rapport de Kaspersky.
En clair, le risque principal est une prise de contrôle à distance partielle de la machine, avec exécution de commandes par les attaquants et téléchargement d’autres malwares. Sur un PC perso, ça peut mener à du vol d’informations, à l’installation d’autres malwares, ou à une persistance silencieuse difficile à voir. Sur un poste pro, le danger est plus grave, parce qu’un logiciel de confiance installé avec des droits élevés peut servir de point d’entrée pour d’autres machines du réseau.
Une attaque ciblée avec le malware QUIC RAT
La majorité des victimes sont des particuliers. Néanmoins, environ 10 % des systèmes touchés appartiennent à des entreprises et des organisations. Heureusement pourrait-on dire, l’attaque s’est limitée au collecteur d’informations dans la plupart des cas.
Cependant, une porte dérobée supplémentaire a été déployée sur une douzaine de machines. Celles-ci appartiennent à des secteurs gouvernementaux, scientifiques, manufacturiers et de la vente au détail. Ces victimes sont situées en Russie, en Biélorussie et en Thaïlande. Cette porte dérobée permet d’exécuter des commandes shell qui peuvent lancer un programme ou manipuler des fichiers, de télécharger des fichiers et de lancer des modules malveillants en mémoire.
Dans un cas précis visant une institution éducative en Russie, les chercheurs ont détecté un outil plus complexe nommé QUIC RAT. Ce cheval de Troie peut communiquer via de multiples protocoles (HTTP, UDP, TCP, WSS, QUIC, DNS, HTTP/3). Il est également capable d’injecter des charges utiles dans des processus légitimes de Windows, comme notepad.exe et conhost.exe.
Pour référence, une charge utile (payload en anglais) est la partie malveillante du malware, le code qui exécute l’action destructrice ou nuisible. Le trojan de base ne sert qu’à l’acheminer et à la faire exploser.
Aujourd’hui, l’identité des pirates reste inconnue. L’analyse a révélé des artefacts en langue chinoise, mais la campagne n’est attribuée à aucun groupe connu pour le moment.
L’éditeur promet une enquête
L’attaque a aisément contourné les défenses traditionnelles. Les utilisateurs accordent en effet une confiance implicite aux logiciels signés numériquement et téléchargés sur le site officiel de son éditeur.
Georgy Kucherin, chercheur chez Kaspersky, souligne l’élaboration de l’opération : « Le fait que l’attaque de Daemon Tools soit passée inaperçue pendant environ un mois indique que l’acteur malveillant à l’origine de cette attaque est sophistiqué et possède des capacités offensives avancées ».
Pour l’heure, il est recommandé aux utilisateurs de désinstaller rapidement l’application compromise. Une analyse complète du système avec un antivirus est également conseillée. Pour les entreprises, l’isolement des terminaux affectés et l’audit des réseaux sont de mise.
Contacté par Techcrunch, un représentant de AVB Disc Soft a déclaré que l’entreprise est au courant du rapport. Elle mène actuellement l’enquête et traite le problème avec « la plus haute priorité ».
Source:
www.frandroid.com
