Pas op met Daemon Tools: actieve supply chain aanval op website
Gebruikers van de populaire software Daemon Tools lopen groot gevaar. Onderzoekers van Kaspersky hebben een actieve 'supply chain'-aanval ontdekt waarbij de officiële website van de software wordt gebruikt om malware te verspreiden. Sinds begin april 2042 is de legitieme installer besmet met een backdoor, waardoor hackers volledige controle over computers kunnen krijgen.
De aanval is bijzonder verraderlijk omdat de kwaadaardige software direct via het hoofddomein van Daemon Tools wordt gedownload. Bovendien hebben de aanvallers de malware voorzien van een geldig digitaal certificaat van de ontwikkelaar. Hierdoor slaan traditionele beveiligingssystemen minder snel alarm, aangezien de software 'officieel' en 'veilig' oogt.
Administratieve rechten als valstrik
Daemon Tools wordt veelal gebruikt voor het emuleren van virtuele schijfstations. Omdat dit soort software diep in het besturingssysteem moet ingrijpen, vragen gebruikers tijdens de installatie vrijwel altijd om verhoogde administratieve rechten.
De hackers maken hier handig misbruik van: zodra de gebruiker toestemming geeft, nestelt de malware zich diep in de Windows-omgeving. Volgens Kaspersky wordt er gebruikgemaakt van een legitieme Windows-service om ervoor te zorgen dat de hackers ook na een herstart van de computer toegang blijven houden.
Wereldwijde impact, ook voor bedrijven
De telemetrie van Kaspersky laat zien dat de aanval al sinds 8 april 2026 gaande is en slachtoffers heeft gemaakt in meer dan 100 landen. Hoewel Daemon Tools vooral populair is onder consumenten, blijkt 10% van de besmette systemen bij bedrijven en organisaties te horen.
Bij een kleine groep specifieke slachtoffers — waaronder organisaties in de wetenschap, overheid en de maakindustrie — zagen onderzoekers dat de hackers zelfs handmatig extra malware installeerden. Dit wijst op een gerichte spionagecampagne. Hoewel er Chinese taalfragmenten in de code zijn gevonden, is de aanval nog niet officieel toegeschreven aan een bekende groepering.
Advies: Deïnstalleer direct
Georgy Kucherin, senior security researcher bij Kaspersky, spreekt van een geraffineerde aanval. "Gebruikers vertrouwen software met een digitale handtekening van een officiële bron blindelings. Het feit dat dit al een maand onopgemerkt is gebleven, toont de geavanceerde capaciteiten van deze aanvallers aan."
Wat u moet doen:
- Individuele gebruikers: Deïnstalleer Daemon Tools onmiddellijk (versies vanaf 12.5.0.2421 zijn besmet) en voer een volledige systeemscan uit met up-to-date antivirussoftware.
- Bedrijven: Audit het netwerk op de aanwezigheid van 'Daemon Tools Lite'. Isoleer getroffen computers direct om te voorkomen dat hackers zich verder door het bedrijfsnetwerk verplaatsen.
Kaspersky heeft de ontwikkelaar van de software, AVB Disc Soft, inmiddels op de hoogte gesteld om de bron van het lek te dichten. Uit recent onderzoek blijkt dat supply chain-aanvallen in 2026 de meest voorkomende cyberdreiging voor bedrijven zijn, terwijl slechts 9% van de organisaties dit als een topprioriteit ziet. Dit incident onderstreept dat zelfs vertrouwde softwareleveranciers een zwakke schakel kunnen vormen.
