Kaspersky, DAEMON Tools’un resmi sitesinden yayılan aktif bir tedarik zinciri saldırısını ortaya çıkardı. Saldırganlar, 8 Nisan 2026’dan itibaren Windows yükleyicilerine kötü amaçlı kod enjekte edip bunları geliştirici AVB Disc Soft’a ait geçerli dijital sertifikalarla imzaladı. Bu sayede kurulum dosyaları güvenilir görünmeye devam etti.
Ne oldu?
Analize göre 12.5.0.2421–12.5.0.2434 arasındaki DAEMON Tools sürümlerinin içinde yer alan üç dosya manipüle edildi: DTHelper.exe, DiscSoftBusServiceLite.exe ve DTShellHlp.exe. Bu dosyalardan biri çalıştığında başlangıç rutinine gizlenen arka kapı devreye giriyor, “env-check.daemontools.cc” adlı komuta-kontrol alanına istek atıyor ve ek zararlı bileşenleri indirip çalıştırabiliyor. Bazı vakalarda daha gelişmiş QUIC RAT implantı devreye sokuldu.
Kaspersky, saldırının yaygın göründüğünü fakat ikinci aşama arka kapının yalnızca sınırlı sayıda kurumsal makinede görüldüğünü aktarıyor. Telemetri, binlerce denemeyi ve 100’ü aşkın ülkeye yayılan enfeksiyon girişimlerini gösteriyor; en çok etkilenenler arasında Türkiye de yer alıyor. İkinci aşama bulaşmaların ise Rusya, Belarus ve Tayland’daki bazı perakende, bilimsel, üretim ve kamu kurumlarında tespit edildiği belirtiliyor.
Kötü amaçlı örneklerde, kod içinde Çince konuşan bir tehdide işaret eden bulgular bulunduğu not ediliyor; kesin atıf ise yapılmıyor.
Geliştirici ne dedi, sorun giderildi mi?
Disc Soft, 6 Mayıs 2026’da yayımladığı açıklamada olayın DAEMON Tools Lite’ın ücretsiz 12.5.1 sürümüyle sınırlı olduğunu, diğer ürünlerin (DAEMON Tools Pro ve DAEMON Tools Ultra dahil) etkilenmediğini belirtti. Şirket, bildirimi 5 Mayıs sabahı aldıktan sonra 12 saatten kısa sürede müdahale ettiklerini ve 5 Mayıs’ta yayınlanan 12.6.0.2445 sürümünün sorunu ortadan kaldırdığını duyurdu. Kaspersky de 12.6.0.2445’in zararlı davranış göstermediğini doğruladı.
Kimler risk altında, ne yapmalı?
- 8 Nisan 2026’dan bu yana DAEMON Tools Lite 12.5.1’i indiren veya kuran kullanıcılar uygulamayı kaldırıp tam sistem taraması çalıştırmalı ve resmi siteden 12.6 sürümünü kurmalı.
- Kurulum klasöründe değiştirildiği belirtilen dosyalar (DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe) ve geçici klasörde izlenen dosya/adlar (ör. C:WindowsTempenvchk.exe, cdg.exe, imp.tmp, piyu.exe) kontrol edilmeli.
- Dijital imzalar tek başına yeterli güven sinyali değildir; güvenlik yazılımı ile davranışsal denetim yapılmalı.
Kısacası, saldırı resmi site üzerinden dağıtıldığı ve imzalı kurulumlar kullanıldığı için fark edilmesi zordu. Ancak 5 Mayıs’ta yayımlanan yeni sürümle dağıtım kesildi ve bugün itibarıyla güncel sürümü indirip kuran kullanıcılar için riskin giderildiği bildiriliyor.
Kaynak: www.techspot.com