Známy program s miliónmi stiahnutiami napadli hackeri priamo pri zdroji. Používatelia si malvér sťahovali z legitímnej stránky
Hackerom sa podarilo infikovať populárny nástroj DAEMON Tools, pričom infikovanú verziu si užívatelia sťahovali z legitímnej stránky.
Populárny program DAEMON Tools, ktorý slúži na vytváranie a používanie obrazov diskov, sa dostal do centra vážneho bezpečnostného incidentu. Výskumníci z Kaspersky totiž odhalili supply chain útok, pri ktorom útočníci infikovali oficiálne inštalátory programu škodlivým kódom. Útok bol mimoriadne nebezpečný aj kvôli tomu, že používatelia sťahovali softvér priamo z legitímnej stránky a súbory niesli platné digitálne podpisy vývojárov.
Podľa analýzy sa kompromitované verzie objavili už 8. apríla 2026. Konkrétne išlo o verzie 12.5.0.2421 až 12.5.0.2434. Škodlivý kód sa ukryl priamo v súboroch programu, takže bežný používateľ prakticky nemal šancu čokoľvek spozorovať. Výskumníci upozornili, že prvá vlna útoku zasiahla tisíce zariadení vo viac než stovke krajín, pričom útoky sa objavili aj u nás.
Väčšina obetí síce čelila len prvotnej infekcii, no malá časť dostala oveľa nebezpečnejší druh škodlivého softvéru, čo naznačilo, že útočníci si mohli obete vyberať.
Hackeri sa ukrývali za bežnú aktualizáciu
Ako sme spomenuli hneď v úvode, užívateľ si škodlivé súbory stiahol z legitímnej stránky a niesli oficiálny digitálny podpis spoločnosti AVB Disc Soft, teda vývojára DAEMON Tools. V tomto prípade sa nestalo, že by užívateľ spustil podozrivý crack alebo pirátsku aplikáciu, ako to býva zvykom pri podobných útokoch.

Po spustení inštalátora sa aktivovali tri infikované súbory, DTHelper.exe, DiscSoftBusServiceLite.exe a DTShellHlp.exe. Následne sa v počítači spustili zadné vrátka, ktoré dali útočníkom prístup k infikovanému zariadeniu. Tento backdoor následne komunikoval so škodlivým serverom cez internet. Adresa pritom zámerne pripomínala oficiálnu doménu programu, aby nevyvolala podozrenie. Výskumníci upozornili, že útočníci si doménu zaregistrovali len krátko pred začiatkom útoku.
Neprehliadni
Odborníci z Kaspersky poukazujú aj na to, že metóda útoku nespustila reakciu antivírových programov, kvôli technike, ktorú útočníci použili. Moderný malvér už totiž nefunguje ako klasický „vírus“, ktorý vytvorí vlastný podozrivý proces. Útočníci namiesto toho zneužijú legitímne nástroje systému Windows. Bezpečnostní experti tento prístup označujú ako „Living off the Land“.
V prípade DAEMON Tools dokázal škodlivý kód preniknúť priamo do procesov ako notepad.exe alebo conhost.exe. Tento postup sa označuje ako injekcia do pamäte. Pre bezpečnostný softvér potom situácia vyzerá oveľa menej podozrivo. Namiesto neznámeho vírusu totiž internetovú komunikáciu vykonáva obyčajný Poznámkový blok alebo systémový proces Windows.
Prvá fáza útoku slúžila hlavne na prieskum. Infikovaný program si z internetu stiahol ďalší nástroj, ktorý zozbieral množstvo systémových údajov. Malvér získal názov počítača, MAC adresu, zoznam nainštalovaných programov, aktívne procesy aj jazyk systému. Následne všetky dáta odoslal na riadiaci server útočníkov.
Výskumníci našli v škodlivom kóde viacero čínskych reťazcov textu, čo naznačilo možné prepojenie na čínsky hovoriacu skupinu. Kaspersky však zatiaľ útok oficiálne nepripísal konkrétnemu aktérovi.

Analýza odhalila, že zber informácií o zariadení mal hackerom pomôcť zúžiť výber infikovaných zariadení pre ďalšiu fázu útoku. Ten neprebehol na väčšine infikovaných zariadení, no zasiahol malé množstvo vybraných organizácií.
Jedno jednoduché pravidlo vo firewalle mohlo rozhodnúť, či sa útok pohne ďalej
Bezpečnostní analytici poukazujú aj na infraštruktúru útočníkov, hlavne teda na fakt, že škodlivá doména vznikla približne týždeň pred začiatkom celej kampane. Práve toto dnes patrí medzi jeden z hlavných varovných signálov. Veľa moderných firemných firewallov zároveň dokáže automaticky blokovať prístup na veľmi nové domény, napríklad mladšie než 30 dní.
Ak by organizácia používala takéto pravidlo, infikovaný DAEMON Tools by sa pravdepodobne vôbec nespojil so svojím riadiacim serverom. Malvér by síce sedel v počítači, no útočníci by nad ním nezískali kontrolu.
Aj preto bezpečnostní experti čoraz viac zdôrazňujú, že ochranu dnes netvorí len antivírus. Dôležitú úlohu hrá analýza sieťovej komunikácie, monitoring správania zariadení aj blokovanie podozrivých domén.
Pamätaj, že digitálny podpis dnes nemusí znamenať bezpečnosť
Celý incident zároveň narušil predstavu, že digitálny podpis predstavuje absolútnu záruku bezpečnosti. Veľa používateľov si totiž zvyklo kontrolovať hlavne to, či aplikácia nesie podpis známeho vývojára. V tomto prípade však škodlivé súbory niesli úplne legitímny podpis spoločnosti AVB Disc Soft.

Podľa Kaspersky je vysoko nepravdepodobné, že sa hackerom podarilo ukradnúť samotný certifikát. Oveľa pravdepodobnejší scenár počíta s kompromitáciou build servera alebo vývojového prostredia firmy. To znamená, že sa škodlivý kód mohol dostať do programu ešte pred oficiálnym podpísaním.
Podľa analýzy smerovala druhá vlna útoku len na približne 12 zariadení. Išlo pritom o počítače zo štátnych inštitúcií, výrobných firiem, vedeckých organizácií či retailu v Rusku, Bielorusku a Thajsku.
Útočníci následne nasadili minimalistický backdoor, ktorý dokázal sťahovať ďalšie súbory, spúšťať príkazy alebo načítať škodlivý kód priamo do pamäte systému.
V jednom prípade výskumníci objavili aj pokročilý RAT trojan, ktorý pomenovali QUIC RAT. Tento malvér podporil viacero komunikačných protokolov vrátane HTTP/3, DNS alebo QUIC a dokázal injektovať škodlivý kód do legitímnych procesov systému Windows.
Kaspersky zároveň upozornil, že dôveryhodné a široko používané aplikácie predstavujú pre útočníkov mimoriadne cenný cieľ. Práve to robí supply chain útoky mimoriadne nebezpečnými, a to nielen pre veľké firmy.