Daemon Tools’un Resmi Sitesinden Arka Kapı Dağıtıldı

Kaspersky, DAEMON Tools’un resmi sitesinden yayılan aktif bir tedarik zinciri saldırısını ortaya çıkardı. Saldırganlar, 8 Nisan 2026’dan itibaren Windows yükleyicilerine kötü amaçlı kod enjekte edip bunları geliştirici AVB Disc Soft’a ait geçerli dijital sertifikalarla imzaladı. Bu sayede kurulum dosyaları güvenilir görünmeye devam etti.

Ne oldu?

Analize göre 12.5.0.2421–12.5.0.2434 arasındaki DAEMON Tools sürümlerinin içinde yer alan üç dosya manipüle edildi: DTHelper.exe, DiscSoftBusServiceLite.exe ve DTShellHlp.exe. Bu dosyalardan biri çalıştığında başlangıç rutinine gizlenen arka kapı devreye giriyor, “env-check.daemontools.cc” adlı komuta-kontrol alanına istek atıyor ve ek zararlı bileşenleri indirip çalıştırabiliyor. Bazı vakalarda daha gelişmiş QUIC RAT implantı devreye sokuldu.

Kaspersky, saldırının yaygın göründüğünü fakat ikinci aşama arka kapının yalnızca sınırlı sayıda kurumsal makinede görüldüğünü aktarıyor. Telemetri, binlerce denemeyi ve 100’ü aşkın ülkeye yayılan enfeksiyon girişimlerini gösteriyor; en çok etkilenenler arasında Türkiye de yer alıyor. İkinci aşama bulaşmaların ise Rusya, Belarus ve Tayland’daki bazı perakende, bilimsel, üretim ve kamu kurumlarında tespit edildiği belirtiliyor.

Kötü amaçlı örneklerde, kod içinde Çince konuşan bir tehdide işaret eden bulgular bulunduğu not ediliyor; kesin atıf ise yapılmıyor.

Geliştirici ne dedi, sorun giderildi mi?

Disc Soft, 6 Mayıs 2026’da yayımladığı açıklamada olayın DAEMON Tools Lite’ın ücretsiz 12.5.1 sürümüyle sınırlı olduğunu, diğer ürünlerin (DAEMON Tools Pro ve DAEMON Tools Ultra dahil) etkilenmediğini belirtti. Şirket, bildirimi 5 Mayıs sabahı aldıktan sonra 12 saatten kısa sürede müdahale ettiklerini ve 5 Mayıs’ta yayınlanan 12.6.0.2445 sürümünün sorunu ortadan kaldırdığını duyurdu. Kaspersky de 12.6.0.2445’in zararlı davranış göstermediğini doğruladı.

Kimler risk altında, ne yapmalı?

Kısacası, saldırı resmi site üzerinden dağıtıldığı ve imzalı kurulumlar kullanıldığı için fark edilmesi zordu. Ancak 5 Mayıs’ta yayımlanan yeni sürümle dağıtım kesildi ve bugün itibarıyla güncel sürümü indirip kuran kullanıcılar için riskin giderildiği bildiriliyor.

Kaynak: www.techspot.com

Exit mobile version