Daemon Tools piraté dans une attaque de chaîne d'approvisionnement

Introduction

Daemon Tools, une application largement utilisée pour monter des images de disque, a été piratée dans une attaque de chaîne d'approvisionnement d'une durée d'un mois. Les chercheurs de Kaspersky ont découvert que les mises à jour malveillantes provenaient des serveurs du développeur.

Contexte Technique

L'attaque a commencé le 8 avril et a duré jusqu'à la publication du rapport de Kaspersky. Les installateurs signés par le certificat numérique officiel du développeur et téléchargés à partir de son site Web infectent les exécutables de Daemon Tools, ce qui provoque l'exécution du malware au démarrage. Les versions affectées sont les 12.5.0.2421 à 12.5.0.2434, qui semblent être réservées aux versions Windows.

Le malware collecte des informations telles que les adresses MAC, les noms d'hôte, les noms de domaine DNS, les processus en cours d'exécution, les logiciels installés et les paramètres régionaux du système, puis les envoie à un serveur contrôlé par l'attaquant. Des milliers de machines dans plus de 100 pays ont été ciblées, et environ 12 d'entre elles ont reçu un payload supplémentaire, indiquant que l'attaque de chaîne d'approvisionnement cible des groupes sélectionnés.

Analyse et Implications

Cette attaque est la dernière d'une série d'attaques de chaîne d'approvisionnement, notamment la compromission de l'utilitaire Windows CCleaner en 2017, du logiciel de gestion d'applications Solar Winds pour les entreprises en 2020 et du client VoIP 3CX en 2023. De telles attaques sont difficiles à défendre car les utilisateurs sont infectés lorsqu'ils ne font rien d'autre que d'installer des mises à jour numériquement signées disponibles via des canaux officiels.

Perspective

Les chercheurs de Kaspersky ont souligné que les attaquants ont orchestré la compromission de Daemon Tools de manière très sophistiquée. Il est essentiel pour les organisations d'examiner soigneusement les machines qui avaient Daemon Tools installé pour détecter des activités anormales liées à la cybersécurité qui ont eu lieu à partir du 8 avril. Il est également important de surveiller les mises à jour et les canaux de distribution pour prévenir de telles attaques à l'avenir.