L’application Daemon Tools, couramment utilisée pour monter des images disque sur Windows, a servi de vecteur à une attaque de type supply chain pendant près d’un mois. Des mises à jour malveillantes ont été distribuées depuis les serveurs officiels de son développeur, AVB.
C’est la société de cybersécurité Kaspersky qui a révélé l’incident. L’attaque aurait débuté le 8 avril et était encore active au moment de la publication de son rapport.
A lire aussi
- Disneyland collecte vos données faciales, même sans votre accord
- Une nouvelle mise à jour de Windows 10 corrige un bug majeur
Des mises à jour signées comme cheval de Troie
Le mode opératoire repose sur un détail particulièrement trompeur : les installeurs infectés étaient signés avec le certificat numérique officiel du développeur. Rien ne distinguait ces fichiers d’une mise à jour légitime pour un utilisateur ordinaire.
Les versions concernées vont de la 12.5.0.2421 à la 12.5.0.2434, toutes sous Windows. Une fois installées, elles modifient les exécutables de Daemon Tools pour que le malware se lance automatiquement au démarrage du système.
Collecte de données et cibles sélectionnées
La première charge malveillante embarquée dans les versions compromises effectue une reconnaissance discrète des machines infectées. Elle collecte les adresses MAC, les noms d’hôte, les noms de domaine DNS, les processus en cours, les logiciels installés et les paramètres régionaux du système.
Ces informations sont ensuite transmises à un serveur contrôlé par les attaquants. Des milliers de machines réparties dans plus de cent pays ont été ciblées. Parmi l’ensemble des systèmes compromis, une douzaine seulement, appartenant à des organisations des secteurs du commerce, de la recherche, de l’administration et de l’industrie, ont reçu une charge secondaire. Ce ciblage sélectif suggère que l’objectif principal de l’attaque n’était pas une infection de masse, mais l’accès à des cibles précises.
Une attaque dans la continuité d’autres compromissions connues
Les attaques de type supply chain se distinguent par leur difficulté à détecter. L’utilisateur ne commet aucune erreur : il installe simplement une mise à jour proposée par un canal officiel. La compromission reste invisible jusqu’à ce qu’un tiers la signale.
Ce schéma n’est pas nouveau. La compromission de l’utilitaire CCleaner en 2017, celle du logiciel de gestion SolarWinds en 2020 ou encore du client VoIP 3CX en 2023 suivaient la même logique. Dans chacun de ces cas, plusieurs semaines voire plusieurs mois se sont écoulés avant que l’intrusion soit découverte.
Kaspersky souligne que la sophistication de l’opération visant Daemon Tools est comparable à celle de l’attaque 3CX. Les chercheurs recommandent à toute organisation ayant utilisé l’application d’examiner les machines concernées à la recherche d’activités anormales survenues à partir du 8 avril.
Que faire si vous utilisez Daemon Tools
Si vous avez installé ou mis à jour Daemon Tools entre le 8 avril et la date de publication du rapport de Kaspersky, il convient de vérifier la version installée. Les versions 12.5.0.2421 à 12.5.0.2434 sont les seules identifiées comme compromises à ce stade.
Kaspersky et AVB n’avaient pas encore communiqué publiquement sur un correctif au moment de la publication. Une analyse des journaux système reste conseillée pour détecter toute connexion sortante vers des serveurs non reconnus depuis la date de compromission.
Source : Ars Technica
