Nutzt jemand noch die Daemon Tools für Windows, um optische Laufwerke zu emulieren? Der Server zum Download dieser Daemon Tools war kompromittiert und hat eine Programmversion mit Schadsoftware zum Download angeboten. Die Software war sogar mit einem Entwicklerzertifikat digital signiert.
Was sind die Daemon Tools?
Ich gestehe, ich habe ewig nichts mehr von Daemon Tools gehört, seit Windows mit Bordmitteln ISO-Dateien als optische Laufwerke mounten kann. Daemon Tools ist ein Windows-Programm zum Emulieren optischer Laufwerke. Es ist in der Lage, ein Abbild einer CD oder DVD als ISO-Datei zu mounten. Der Nutzer kann dann dieses virtuelle Laufwerk mit seinem Inhalt wie ein CD- oder DVD-Laufwerk lesen. Daemon Tools Lite wird als Adware vertrieben, und es gibt werbefreie Versionen mit zusätzlichen Funktionen gegen eine Lizenzgebühr.
Daemon Tools mit Malware ausgeliefert
Georgy Kucherin weist in nachfolgendem Tweet darauf hin, dass er mit weiteren Leuten darauf gestoßen sei, dass die DAEMON Tools-Software seit dem 8. April 2026 durch einen komplexen Supply-Chain-Angriffs kompromittiert wurde.
Der Installer wurde wohl mit Malware versehen. Die von den infizierten Installern bereitgestellten bösartigen Varianten der DAEMON Tools enthalten eine Hintertür, die bei der Initialisierung der ausführbaren Datei ausgeführt wird. Diese Hintertür ist dafür zuständig, GET-Anfragen an einen C2-Server zu senden, um Shell-Befehle abzurufen und diese anschließend auszuführen.
Es wurde beobachtet, dass die Angreifer diese Hintertür nutzen, um weitere Schadcode-Payloads auf infizierten Rechnern zu installieren. In den meisten Fällen gab es Versuche, ein Implantat zu installieren, das Systeminformationen sammelt. Interessanterweise enthält dieses Implantat Zeichenfolgen in chinesischer Sprache.
Bei etwa einem Dutzend betroffener Organisationen wurde jedoch spezifische Aktivitäten beobachtet – war auf einen gezielten Lieferkettenangriff hindeutet, der auf spezielle Opfer zielt. Bei diesen Opfern wurde eine minimalistische Backdoor installiert, die zum Herunterladen von Dateien und zum Ausführen von Shellcode-Payloads konzipiert war.
Darüber hinaus haben die Sicherheitsexperten festgestellt, dass nur eine der Organisationen eine einzigartige RAT erhalten hat, die in der Lage ist, Payloads einzuschleusen und eine Vielzahl von Protokollen für die Kommunikation mit C2-Servern zu nutzen – darunter WSS, QUIC, DNS und HTTP/3.
Die schädlichen Installationsprogramme von DAEMON Tools werden seit der Veröffentlichung der Version 12.5.0.2421 verbreitet. Zum Zeitpunkt der Erstellung des obigen Tweets (am 5. April 2026) sind die neuesten Versionen dieser Software weiterhin infiziert. Alle Installationsprogramme sind mit legitimen Zertifikaten signiert, die den Softwareentwicklern gehören.
Kucherin schreibt, dass man bei Kaspersky Tausende von Infektionen in über 100 Ländern festgestellt habe. Da dieser Supply-Chain-Angriff äußerst komplex ist, wird allen Nutzern von DAEMON Tools dringend empfohlen, ihre Rechner zu isolieren und einen Sicherheitsscan durchzuführen, um sich vor Malware zu schützen.
Weitere Informationen finden Sie in den IoCs, die im Blogbeitrag DAEMON Tools software infected – supply chain attack ongoing since April 8, 2026 von den Kaspersky-Mitarbeiter Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko und Anton Kargin veröffentlicht wurden.
MVP: 2013 – 2016
Dabei kostet ein Gnuk Token (FLOSS) gerade mal 2 USD oder als Nitrokey Start ca 29€ (der kommerzielle Gnuk). Ist halt nur GnuPG und keine fancy signed binary.
Man sollte seine signing keys/certs schon auf einem HSM hinter PW und maximal 3 Falscheingaben vor Diebstahl und Zugriff schützen. Einmal mit Profis arbeiten. Hach Fefe ich vermisse dich.
Wir merken uns:
Updates verzögert einspielen bei nicht kritischen Applikationen.
Huii… das habe ich vielleicht vor 20 Jahren das letzte mal genutzt.
hab auch direkt gedacht, waaaa das gibts noch…
Die Daemon Tools waren damals sehr Hilfreich, um bei Spiele Images Safedisc zu simulieren und die Spiele als Kopie zu zocken.
a blast from the past …
Falls da in Daemon Tools standardmässig ein Auto-Update der Software aktiv wäre, käme man über so einen Angriff einfach und direkt auf zig uralte Rechner. Nutze das selbst nicht, daher weiss ich nicht, ob da sowas ist.
Autoupdates sollten grundsätzlich aus sein, man spielt keine Updates ungeprüft ein, egal was für Software! Programme dürfen gerne über Updates informieren, aber automatisch einspielen ist ein NoGo!
DA brauchts einem nicht zu wundern, wenn Systeme "gehackt" werden, wenn man die einfachsten Sicherheitsregeln ignoriert.
Updates sind wichtig, aber niemals ungeprüft.
Und du kleiner krasser Checker prüfst natürlich jedes Update deines Systems und deiner Programme bitweise auf Malware, weil du es ja so dermaßen drauf hast *gähn*
Ausgehend, dass ich weder von der CPU-Z/HWMonitor noch der DaemonTools-Attacke betroffen war liegt er damit doch nicht falsch.
Wann braucht man ein neues CPU-Z/HWMonitor? Man hat gerade eine CPU installiert die noch keinen Support hatte. (Alle 5 Jahre?)
Wann braucht man DaemonTools und ein update dafür? Gar nicht, das relevante DRM ist IMHO seit ca. 2005 nicht mehr begegnet.
Wenn Luzifer triggert lag er wiedermal richtig. Sie "hassten" ihn weil er die Wahrheit sprach (Gal. 4:16)
Und die Entwickler sind nicht entlastet, wenn sie sich die signing keys entwenden lassen. So schlau wie KFZ mit laufendem Motor und Schlüssel in der Zündung unbeaufsichtigt zu lassen. Genau wie alle Schafen direkt los laufen als Windows 11 raus kam, statt auf der Windows 10 ESU sicher zu warten wie schlimm Nadellas KI-Ambitionen werden.
Alles muss neu sein, ständig neues Phone, neues Update, neue Schuhe. Die Gesellschaft ist überstimuliert vom Kommerz.
Once it was a very good program,now it's just over-bloated program that happens to do be a virtual disk, for iso and other types of images this one is way better https://www.yubsoft.com/imgdrive/
Also wenn die Schadcode-Version mit einem Zertifikat der Entwickler signiert war, dann ist der Angreifer weiter eingedrungen als auf den Downloadserver. Oder macht hier irgendjemand den Build-Prozess auf einem Download-Server?
Die Daemontools hab ich früher auch mal benutzt, war sehr praktisch. Inzwischen ist das Tool aber viel zu sehr mit Werbung und anderer Bloat vollgestopft, und Windows kann ISOs selber mounten.
Kann weg.
Evergreen wird Sometimesred