Attaque de chaîne d’approvisionnement sur Daemon Tools (porte dérobée) Kaspersky GReAT détecte une attaque de chaîne d’approvisionnement visant Daemon Tools, utilisant un installateur compromis pour déployer une porte dérobée.
Selon Kaspersky GReAT, une attaque en chaîne d’approvisionnement cible le site officiel de Daemon Tools, célèbre logiciel d’émulation de lecteur virtuel. L’équipe a détecté un installateur compromis qui livre une porte dérobée en même temps que l’application légitime, ouvrant une porte à des commandes arbitraires sur les machines des utilisateurs.
Comment s’est opérée l’attaque
Les chercheurs expliquent qu’un programme d’installation du site officiel a été modifié pour intégrer un composant malveillant. Lors de l’installation, le chargeur se déploie et installe la porte dérobée sans que l’utilisateur ne s’en rende compte. Cette approche exploite la confiance accordée au site, que les internautes associent à un outil fiable pour émuler des lecteurs virtuels.
Concrètement, le malware peut s’exécuter au démarrage ou lors du premier lancement de Daemon Tools, offrant potentiellement un accès à distance et la possibilité d’exécuter des commandes. Le cadre technique décrit l’utilisation d’un chargeur malveillant qui, une fois actif, peut établir un canal de communication avec des serveurs de commande et contrôle (C2) ou récupérer des données sensibles selon les droits d’accès de l’utilisateur.
- L’installation trojanisée : le programme d’installation livre le malware en même temps que Daemon Tools.
- Exécution automatique : la porte dérobée se lance dès le premier usage de l’application.
- Établissement d’un canal C2 : des connexions sortantes peuvent permettre des ordres à distance.
Impact et mesures de mitigation
Pour les utilisateurs, le principal risque est l’exécution d’un code arbitraire après l’installation. Il est crucial d’authentifier les sources et de vérifier l’intégrité des installateurs téléchargés, notamment grâce à des signatures numériques et des sommes de contrôle fournies par l’éditeur officiel.
Les entreprises et les utilisateurs peuvent renforcer leur posture en activant des solutions de détection et de réponse (EDR), en appliquant des politiques restrictives sur les exécutables non signés, et en privilégiant les chaînes de distribution officielles pour tout logiciel d’émulation ou de virtualisation.
Limites et incertitudes
À ce stade, les détails techniques précis du malware et les indicateurs d’attaque (IoCs) ne sont pas publiés. Comme souvent dans les attaques de chaîne d’approvisionnement, la visibilité dépend des mises à jour des chercheurs et des partenaires qui partagent des échantillons et des analyses complémentaires.
Pour terminer
Cette affaire rappelle que des outils largement répétés et perçus comme sûrs peuvent devenir des vecteurs d’attaque. Elle souligne l’importance d’une vérification rigoureuse des installateurs et d’un renforcement des protections contre les menaces liées aux chaînes d’approvisionnement logicielles.
Source : UnderNews lien.
