Sicherheitsforscher von Kaspersky entdeckten, dass die Plattform infizierte Installationsdateien an Nutzer auslieferte. Der Angriff ist seit dem 8. April 2026 aktiv.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Jetzt Gratis-E-Book zur Cyber-Security sichern
Manipulation der offiziellen Quelle
Die Angreifer gingen präzise vor. Statt auf Phishing oder Drittanbieter zu setzen, infiltrierten sie die Infrastruktur des Entwicklers AVB Disc Soft. Über die offizielle Webseite verteilten sie Installer, die die normale Funktionalität boten – aber im Hintergrund bösartigen Code ausführten.
Besonders kritisch: Die modifizierten Dateien waren mit einem gültigen digitalen Zertifikat signiert. Sicherheitslösungen stuften sie daher als vertrauenswürdig ein. Die Infektion blieb unbemerkt.
Betroffen sind die Versionen 12.5.0.2421 bis 12.5.0.2434. Die Malware ist im Initialisierungsprozess versteckt. Beim Programmstart – oft automatisch beim Hochfahren des Systems – aktiviert sich eine Backdoor in einem eigenen Thread. Sie nutzt legitime Windows-Dienste für dauerhafte Präsenz.
Datenklau per Backdoor
Die Backdoor kommuniziert mit Command-and-Control-Servern (C2) der Angreifer. Die infizierte Software sendet regelmäßig GET-Anfragen an vordefinierte URLs. Ein integrierter Datensammler erfasst sensible Informationen: MAC-Adresse, Hostnamen, DNS-Domainnamen, laufende Prozesse und installierte Software. Auch die Systemsprache wird abgegriffen.
In dokumentierten Fällen antwortete der Server mit Shell-Befehlen über cmd.exe. Häufig genutzt: PowerShell, um weitere Payloads nachzuladen. Forscher identifizierten eine Datei namens envchk.exe für weiterführende Angriffe. Die Hintermänner erhalten so vollständige Kontrolle über infizierte Systeme – von Wirtschaftsspionage bis zum Diebstahl privater Zugangsdaten.
Evasive Panda im Visier
Spuren im Code deuten auf die Gruppierung Evasive Panda (auch Daggerfly). Die Gruppe ist seit über einem Jahrzehnt aktiv und auf komplexe Spionage spezialisiert. Besorgniserregend: Sie agiert zunehmend plattformübergreifend.
Sicherheitsanalysen zeigen, dass dieselben Akteure Android-Pakete mit Trojanern infizierten und Werkzeuge zur Abwerfung von SMS- und DNS-Anfragen entwickelten. 2026 wurden zudem Exploit-Kits wie Coruna identifiziert, die Dutzende iOS-Schwachstellen nutzen. Wer Daemon Tools Lite zur Verwaltung von Medien nutzt, die später mit mobilen Geräten synchronisiert werden, könnte als Brückenkopf für weitere Angriffe dienen.
Weltweite Verbreitung
Betroffene Systeme wurden in über 100 Ländern registriert. Schwerpunkte liegen neben Russland, Brasilien und China auch in Deutschland, Frankreich, Italien und Spanien. Die weite Verbreitung von Daemon Tools Lite als kostenlose Software macht den Angriff besonders effektiv.
Experten raten allen Nutzern, die in den letzten Wochen ein Update oder eine Neuinstallation durchgeführt haben, zum sofortigen Handeln. Die Software sollte deinstalliert werden – aber Vorsicht: Wegen der Persistenzmechanismen reicht das oft nicht. Spezialisierte Sicherheitstools sollten das System scannen. Organisationen müssen Netzwerke auf Kommunikation mit bekannten C2-Servern prüfen.
Rekord-Schäden durch gezielte Angriffe zeigen, wie wichtig proaktive Aufklärung ist. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Tricks und Cyberkriminalität schützen kann. Anti-Phishing-Paket kostenlos herunterladen
Das Vertrauensproblem
Der Vorfall ist kein Einzelfall. Eine Kaspersky-Studie aus dem Frühjahr 2026 zeigt: Supply-Chain-Angriffe sind die häufigste Cyberbedrohung für Unternehmen. Dennoch stufen nur 9 Prozent der Organisationen dieses Risiko als ihre größte Sorge ein.
Angreifer nutzen „Trusted Relationships“ aus – das Vertrauensverhältnis zwischen Anbieter und Kunden. Nutzer ignorieren Sicherheitswarnungen, wenn der Download von der Originalquelle stammt. Werden wie hier zusätzlich gültige Zertifikate missbraucht, bricht eine wichtige Verteidigungslinie zusammen.
Ausblick
Die Sicherheitsgemeinschaft erwartet für 2026 eine weitere Zunahme solcher Angriffe. Experten fordern einen Paradigmenwechsel: Weg von der reinen Quellenprüfung, hin zur kontinuierlichen Verhaltensüberwachung von Anwendungen. Für die Entwickler von Daemon Tools Lite bedeutet der Vorfall einen massiven Vertrauensverlust. Für den Endverbraucher bleibt die bittere Erkenntnis: Selbst offizielle Quellen garantieren keine Sicherheit mehr.
