Daemon Tools Lite: Hacker kapern offizielle Installer für Spionage

Cyberkriminelle haben die weit verbreitete Software Daemon Tools Lite manipuliert und eine hochentwickelte Schadsoftware namens QUIC RAT verbreitet. Der Angriff zielte gezielt auf Regierungen, Wissenschaft und Industrie.

Seit Anfang April nutzen Angreifer eine Sicherheitslücke in der Lieferkette des virtuellen Laufwerks-Tools. Sie schleusten Schadcode in die offiziellen Installer ein, die direkt auf der Herstellerseite zum Download bereitstanden. Die Kampagne zeigt, wie Angreifer das Vertrauen in digital signierte Software ausnutzen, um traditionelle Sicherheitsmaßnahmen zu umgehen.

Der aktuelle Fall zeigt, wie schnell selbst vertrauenswürdige Programme zum Sicherheitsrisiko werden können. Mit dem kostenlosen Anti-Virus Paket von erfahrenen PC-Sicherheitsexperten machen Sie Ihren Windows-Rechner zur Festung gegen Viren, Spionage-Software und gezielte Hackerangriffe. Kostenloses Anti-Virus-Paket jetzt herunterladen

Wie der Angriff ablief

Die Angreifer manipulierten die Versionen 12.5.0.2421 bis 12.5.0.2434 von Daemon Tools Lite, einem Programm des lettischen Unternehmens Disc Soft (auch bekannt als AVB Disc Soft). Wie die Sicherheitsfirma Kaspersky bei ihren Untersuchungen feststellte, veränderten die Täter drei zentrale Programmdateien: DTHelper.exe, DiscSoftBusServiceLite.exe und DTShellHlp.exe.

Das Heimtückische: Die Dateien behielten ihre gültigen digitalen Signaturen. Dadurch umgingen sie Windows SmartScreen und andere sicherheitsrelevante Prüfmechanismen. Der Schadcode aktivierte sich automatisch beim Systemstart und stellte eine Verbindung zu einem Server der Angreifer her. Die dafür genutzte Internetadresse ähnelte der echten Infrastruktur des Entwicklers – ein klassischer Fall von Typosquatting.

Mehrstufige Angriffsstrategie

Die Täter gingen äußerst systematisch vor. In der ersten Stufe installierten sie auf tausenden infizierten Rechnern einen sogenannten Information Collector. Dieses Tool sammelte Systemdaten wie Hostname, MAC-Adresse, laufende Prozesse, installierte Software und Spracheinstellungen. Die meisten Infektionen traten in Russland, Brasilien, der Türkei, Spanien, Deutschland und China auf.

Anhand dieser Daten identifizierten die Angreifer vielversprechende Ziele. Nur etwa ein Dutzend Systeme erhielten eine zweite Infektionsstufe – eine minimalistische Hintertür, die Shell-Befehle ausführen konnte. Diese Opfer saßen hauptsächlich in Russland, Weißrussland und Thailand und arbeiteten in den Bereichen Einzelhandel, Regierung und Wissenschaft.

Die finale Stufe, die QUIC RAT, kam nur auf einem einzigen System zum Einsatz: einer Bildungseinrichtung in Russland. Diese chirurgische Präzision unterstreicht den gezielten Charakter der Operation.

Die technische Raffinesse der QUIC RAT

Die QUIC RAT ist ein hochentwickelter Remote Access Trojan (RAT), programmiert in C++ und stark verschleiert. Ihre besondere Stärke liegt in der Kommunikation: Sie unterstützt eine breite Palette von Protokollen, darunter HTTP, UDP, TCP, DNS und vor allem QUIC sowie HTTP/3.

Durch die Nutzung von QUIC – einem modernen Transportprotokoll, das auf Geschwindigkeit und Sicherheit ausgelegt ist – tarnt sich die Schadsoftware als legitimer Internetverkehr. Viele moderne Webdienste und Browser setzen inzwischen auf QUIC, was die Erkennung zusätzlich erschwert.

Die Schadsoftware kann Schadcode in legitime Systemprozesse wie notepad.exe oder conhost.exe einschleusen. Sie erlaubt das Herunterladen und Stehlen von Dateien, die Ausführung von beliebigem Code und den dauerhaften Zugriff auf das Zielnetzwerk. Hinweise im Code, darunter chinesischsprachige Textfragmente, deuten auf einen chinesischsprachigen Angreifer hin – eine konkrete Gruppe konnte jedoch noch nicht identifiziert werden.

Angriffswelle auf Software-Lieferketten

Der Daemon-Tools-Vorfall ist kein Einzelfall. Im ersten Halbjahr 2026 häufen sich Angriffe auf die Software-Lieferkette. So wurde Anfang Mai die offizielle Website des Download-Managers JDownloader kompromittiert. Angreifer nutzten eine Sicherheitslücke aus und tauschten die Installer-Links gegen schadhafte Versionen aus, die einen Python-basierten Trojaner enthielten.

Parallel dazu erlebte die Kampagne „Mini Shai-Hulud“ eine Wiederbelebung. Innerhalb von nur 48 Stunden Mitte Mai kompromittierten Angreifer 172 verschiedene Pakete in 403 Versionen auf den Entwicklerplattformen npm und PyPI. Betroffen waren unter anderem Pakete, die mit Mistral AI und OpenSearch in Verbindung stehen.

Diese Vorfälle zeigen einen klaren Trend: Angreifer setzen zunehmend auf die Kompromittierung der Vertriebsinfrastruktur vertrauenswürdiger Tools, anstatt aufwändige Zero-Day-Lücken zu suchen. Wenn das Vertrauensmodell selbst zur Angriffsfläche wird, bieten selbst digitale Signaturen nur eine trügerische Sicherheit.

Reaktion und Schutzmaßnahmen

Disc Soft hat nach eigenen Angaben umgehend reagiert. Bereits am 5. Mai 2026 veröffentlichte das Unternehmen die Version 12.6 von Daemon Tools Lite, die keine manipulierten Dateien mehr enthält. Nutzer sollten ihr Programm sofort aktualisieren und ihre Systeme auf Anzeichen einer Kompromittierung überprüfen.

Da Cyberkriminelle gezielt Schwachstellen in Software-Lieferketten und Betriebssystemen ausnutzen, ist ein proaktiver Schutz für jedes Unternehmen unerlässlich. Dieses kostenlose E-Book liefert fundierte Informationen zu aktuellen Bedrohungen und zeigt, wie Sie Sicherheitslücken ohne hohe Investitionen effektiv schließen können. Gratis Cyber-Security E-Book anfordern

Der Entwickler hat seine Build- und Freigabeprozesse überprüft und strengere interne Sicherheitskontrollen eingeführt. Dennoch fordern Sicherheitsexperten einen grundlegenden Wandel: Statt blind auf die Reputation von Quellen zu vertrauen, müssen Unternehmen auf Zero-Trust-Prinzipien auf Anwendungsebene setzen.

Die Nutzung moderner Protokolle wie QUIC in Schadsoftware stellt Netzwerksicherheitsteams vor neue Herausforderungen. Sie müssen Wege finden, bösartige Muster im zunehmend verschlüsselten Datenverkehr zu erkennen. Experten erwarten, dass Angreifer ihre Methoden zur Opferprofilierung weiter verfeinern werden – hin zu noch gezielteren und lautloseren Angriffen.

de | wissenschaft | 69324772 |