Официальный сайт DAEMON Tools распространяет вирусы. Россия пострадала больше всех

Киберпреступники взломали разработчика и подменили файлы — теперь программа устанавливает скрытое ПО для удалённого управления компьютером. Под удар попали пользователи из 100 стран, больше всего жертв — в России.

Злоумышленники провели кибератаку на компанию-разработчика AVB Disc Soft и внедрили вредоносный код в установщики DAEMON Tools — популярной программы для монтирования образов дисков. Заражённые версии распространялись через официальный сайт программы, следует из данных Лаборатории Касперского.

Под угрозой оказались пользователи, которые скачивали версии от 12.5.0.2421 до 12.5.0.2434. Вредоносное ПО было подписано действительным сертификатом, поэтому выглядело легитимным и не вызывало подозрений у антивирусов.

Киберпреступники подменили три исполняемых файла в составе программы, включая DTHelper.exe. В них встроили скрытую программу удалённого управления системой — бэкдор. Пользователи устанавливали такой код вместе с легитимной программой, даже не подозревая об опасности.

На момент публикации зарегистрировано около 2000 случаев заражения в 100 странах мира, сообщили в глобальном центре исследования и анализа угроз Kaspersky GReAT. Больше всего пострадала Россия — на неё приходится 20% от общего числа жертв.

Атака началась в апреле 2026 года и продолжается уже второй месяц. Компанию AVB Disc Soft уведомили о взломе и распространении заражённого ПО через их сайт.

Злоумышленники воспользовались доверием пользователей к официальному источнику. Обычно люди скачивают программы именно с официальных сайтов разработчиков, считая их безопасными. Получив доступ к такому ресурсу, киберпреступники смогли заразить тысячи компьютеров по всему миру.