● Kaspersky FR 📅 05/05/2026 à 15:02

Attaque de la chaîne d’approvisionnement via DAEMON Tools

Géopolitique 👤 Kaspersky Team
Illustration
Nos experts ont découvert une attaque à grande échelle contre la chaîne d’approvisionnement via DAEMON Tools – un logiciel d’émulation de lecteurs optiques. Les attaquants ont réussi à injecter du code malveillant dans les installateurs du logiciel, et tous les fichiers exécutables trojanisés sont signés avec une signature numérique valide d’AVB Disc Soft – l’éditeur de DAEMON Tools. La version malveillante du programme circule depuis le 8 avril 2026. Au moment de la rédaction, l’attaque est toujours en cours. Les chercheurs de Kaspersky estiment qu’il s’agit d’une attaque ciblée. Quels sont les risques liés à l’installation de la version malveillante de DAEMON Tools ? Une fois le logiciel trojanisé installé sur l’ordinateur de la victime, un fichier malveillant se lance à chaque démarrage du système et envoie une requête à un serveur de commande et de contrôle. En réponse, le serveur peut envoyer l’instruction de télécharger et d’exécuter des charges utiles malveillantes supplémentaires. Dans un premier temps, les attaquants déploient un collecteur d’informations qui recueille l’adresse MAC, le nom d’hôte, le nom de domaine DNS, les listes des processus en cours d’exécution et des logiciels installés, ainsi que les paramètres de langue. Le malware envoie ensuite ces informations au serveur de commande et de contrôle. Dans certains cas, en réponse aux informations collectées, le serveur de commande envoie une porte dérobée minimaliste sur la machine de la victime. Elle est capable de télécharger des charges utiles malveillantes supplémentaires, d’exécuter des commandes shell et de lancer des modules de shellcode en mémoire. La porte dérobée peut servir à déployer un implant plus sophistiqué, baptisé QUIC RAT. Il prend en charge plusieurs protocoles de communication avec le serveur de commande et de contrôle et peut injecter des charges utiles malveillantes dans les processus notepad.exe et conhost.exe. Des informations techniques plus détaillées, ainsi que des indicateurs de compromission, sont disponibles dans l’article des experts sur le blog Securelist. Qui est visé ? Depuis début avril, plusieurs milliers de tentatives d’installation de charges utiles malveillantes supplémentaires via le logiciel DAEMON Tools infecté ont été détectées. La plupart des appareils infectés appartenaient à des particuliers, mais environ 10 % des tentatives d’installation ont été observées sur des systèmes utilisés au sein d’organisations. Géographiquement, les victimes étaient réparties dans une centaine de pays et territoires. La plupart se trouvaient en Russie, au Brésil, en Turquie, en Espagne, en Allemagne, en France, en Italie et en Chine. Le plus souvent, l’attaque s’est limitée à l’installation d’un collecteur d’informations. La porte dérobée n’a infecté qu’une douzaine de machines au sein d’organismes gouvernementaux, d’institutions scientifiques et d’entreprises manufacturières, ainsi que dans des commerces de détail en Russie, en Biélorussie et en Thaïlande. Qu’est-ce qui a été infecté exactement ? Le code malveillant a été détecté dans les versions de DAEMON Tools allant de la 12.5.0.2421 à la 12.5.0.2434. Les attaquants ont compromis les fichiers DTHelper.exe, DiscSoftBusServiceLite.exe et DTShellHlp.exe, qui sont installés dans le répertoire principal de DAEMON Tools. Comment se protéger ? Si le logiciel DAEMON Tools est utilisé sur votre ordinateur (ou ailleurs dans votre organisation), nos experts recommandent de vérifier minutieusement les machines sur lesquelles il est installé afin de détecter toute activité inhabituelle depuis le 8 avril. En outre, nous recommandons d’utiliser des solutions de sécurité fiables sur tous les ordinateurs domestiques et d'entreprise utilisés pour accéder à Internet. Nos solutions protègent efficacement les utilisateurs contre l’ensemble des programmes malveillants employés dans l’attaque contre la chaîne d’approvisionnement via DAEMON Tools.
← Retour