我們的研究人員發現,知名光碟模擬軟體 DAEMON Tools 遭到大規模供應鏈攻擊。攻擊者成功把惡意程式碼塞進安裝檔,而且這些被動過手腳的執行檔,還都帶有合法的數位簽章,簽名是 DAEMON Tools 開發商 AVB Disc Soft 的。這個被植入木馬的版本,從 2026 年 4 月 8 日開始就在外流,到目前為止攻擊都還沒停。Kaspersky 研究人員認為這是一場有針對性的攻擊。
安裝到中毒版 DAEMON Tools 有什麼風險?
當受害者安裝了被植入木馬的版本後,系統每次開機時,都會自動執行一個惡意檔案,並連線到駭客的 C2(指揮控制)伺服器。之後伺服器可能會下指令,要求電腦再下載並執行更多惡意程式。
第一階段,攻擊者會先部署一個資訊蒐集工具,收集像是:
- MAC 位址
- 電腦名稱
- DNS 網域名稱
- 正在執行的程式
- 已安裝軟體清單
- 系統語言設定
這些資料都會被傳回駭客的控制伺服器。
有些情況下,駭客收到這些資訊後,還會再下發一個超精簡後門程式。這個後門能:
- 下載更多惡意程式
- 執行 Shell 指令
- 直接在記憶體裡執行 shellcode 模組
之後,駭客甚至能透過這個後門,再安裝一個更進階的惡意程式「QUIC RAT」。它支援多種通訊協定,還能把惡意程式注入到 notepad.exe 跟 conhost.exe 這類 Windows 行程裡面。
更完整的技術細節跟 IOC(入侵指標),可以到 Kaspersky 的 Securelist 技術文章查看。
誰是主要目標?
從 4 月初開始,研究人員已經發現數千次透過被感染的 DAEMON Tools 安裝額外惡意程式的行為。
大部分受害者是一般家用用戶,但約有 10% 發生在企業環境。受害者分布在近百個國家與地區,主要集中在:
- 俄羅斯
- 巴西
- 土耳其
- 西班牙
- 德國
- 法國
- 義大利
- 中國
多數情況下,攻擊只停留在資訊蒐集階段。不過實際被植入後門的案例,已經出現在俄羅斯、白俄羅斯與泰國的一些:
- 政府機構
- 科研單位
- 製造業
- 零售企業
哪些版本被感染?
被植入惡意程式的版本範圍是:
- 12.5.0.2421
- 到 12.5.0.2434
被動手腳的檔案包括:
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
這些檔案都位在 DAEMON Tools 的主安裝目錄裡。
怎麼保護自己?
如果你電腦(或公司內部)有使用 DAEMON Tools,建議立刻:
- 檢查 2026/4/8 之後是否有異常行為
- 查看是否出現可疑開機程序
- 確認有沒有不明連線或可疑程序注入
- 必要時直接移除並重新安裝可信版本
另外,不管是家用還是公司電腦,都建議安裝可靠的防毒與安全防護方案。根據 Kaspersky 的說法,他們的安全產品已經能偵測並阻擋這次透過 DAEMON Tools 發動的供應鏈攻擊。
資料來源: Supply chain attack via DAEMON Tools | Kaspersky official blog