Les chercheurs en sécurité de Kaspersky affirment avoir identifié une porte dérobée malveillante implantée dans le logiciel d’imagerie disque Windows populaire et de longue date, Daemon Tools.
La société russe de cybersécurité a déclaré mardi que les données collectées sur les ordinateurs du monde entier exécutant le logiciel antivirus Kaspersky montrent qu’une attaque « généralisée » est en cours, ciblant des milliers d’ordinateurs Windows exécutant Daemon Tools.
Les pirates, que Kaspersky a reliés à un groupe parlant chinois sur la base d’une analyse du logiciel malveillant, ont utilisé la porte dérobée de Daemon Tools pour implanter des logiciels malveillants supplémentaires sur une douzaine d’ordinateurs des secteurs de la vente au détail, de la science et de la fabrication, ainsi que sur les systèmes gouvernementaux. Kaspersky a déclaré que le piratage de ces ordinateurs spécifiques impliquait un effort « ciblé ».
La société a déclaré que les organisations ciblées sont situées en Russie, en Biélorussie et en Thaïlande.
Kaspersky a déclaré que la porte dérobée avait été détectée pour la première fois le 8 avril.
Kaspersky a déclaré avoir contacté Disc Soft, la société qui gère Daemon Tools, mais n’a pas précisé si le développeur avait répondu ou pris des mesures. Kaspersky a déclaré que l’attaque de la chaîne d’approvisionnement est « toujours active », ce qui suggère que les pirates peuvent toujours installer des logiciels malveillants sur des milliers d’ordinateurs exécutant le logiciel d’imagerie disque.
Il s’agit de la dernière d’une série d’attaques dites de « chaîne d’approvisionnement » qui ont ciblé les développeurs de logiciels populaires ces derniers mois. Les pirates informatiques ciblent de plus en plus les comptes des développeurs qui travaillent sur du code et des logiciels largement utilisés et abusent de cet accès pour transmettre du code malveillant à toute personne utilisant le logiciel. Cette approche permet aux pirates de s’introduire dans un grand nombre d’ordinateurs à la fois lorsque leur code malveillant est fourni sous forme de mise à jour logicielle.
Plus tôt cette année, des pirates informatiques associés au gouvernement chinois ont détourné le populaire logiciel d’édition de texte Notepad++ pour diffuser des logiciels malveillants à un certain nombre d’organisations ayant des intérêts en Asie de l’Est. Les chercheurs en sécurité ont également mis en garde contre une autre attaque le mois dernier ciblant les utilisateurs ayant visité le site Web de CPUID, qui fabrique les outils populaires HWMonitor et CPU-Z.
TechCrunch a téléchargé le programme d’installation de Windows à partir du site Web de Daemon Tools, et le fichier semblait contenir la porte dérobée lorsque nous l’avons vérifié avec le service d’analyse de logiciels malveillants en ligne VirusTotal.
On ne sait pas si la version macOS de Daemon Tools a été compromise ou si d’autres applications créées par Disc Soft sont affectées.
Lorsqu’il a été contacté pour commentaires, un représentant de Disc Soft a déclaré qu’il était « au courant du rapport et qu’il enquêtait actuellement sur la situation ».
« Notre équipe traite cette question avec la plus haute priorité et travaille activement pour évaluer et résoudre le problème. À ce stade, nous ne sommes pas en mesure de confirmer les détails spécifiques référencés dans le rapport. Cependant, nous prenons toutes les mesures nécessaires pour remédier à tout risque potentiel et assurer la sécurité de nos utilisateurs », a déclaré le représentant.
En savez-vous plus sur la cyberattaque visant les utilisateurs de Daemon Tools ? Avez-vous reçu une alerte antivirus indiquant que vous étiez concerné ? Nous voulons avoir de vos nouvelles. Pour contacter ce journaliste en toute sécurité, contactez-nous via le nom d’utilisateur Signal zackwhittaker.1337.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.

