Nutzt jemand noch die Daemon Tools für Windows, um optische Laufwerke zu emulieren? Der Server zum Download dieser Daemon Tools war kompromittiert und hat eine Programmversion mit Schadsoftware zum Download angeboten. Die Software war sogar mit einem Entwicklerzertifikat digital signiert.
Was sind die Daemon Tools?
Ich gestehe, ich habe ewig nichts mehr von Daemon Tools gehört, seit Windows mit Bordmitteln ISO-Dateien als optische Laufwerke mounten kann. Daemon Tools ist ein Windows-Programm zum Emulieren optischer Laufwerke. Es ist in der Lage, ein Abbild einer CD oder DVD als ISO-Datei zu mounten. Der Nutzer kann dann dieses virtuelle Laufwerk mit seinem Inhalt wie ein CD- oder DVD-Laufwerk lesen. Daemon Tools Lite wird als Adware vertrieben, und es gibt werbefreie Versionen mit zusätzlichen Funktionen gegen eine Lizenzgebühr.
Daemon Tools mit Malware ausgeliefert
Georgy Kucherin weist in nachfolgendem Tweet darauf hin, dass er mit weiteren Leuten darauf gestoßen sei, dass die DAEMON Tools-Software seit dem 8. April 2026 durch einen komplexen Supply-Chain-Angriffs kompromittiert wurde.
Der Installer wurde wohl mit Malware versehen. Die von den infizierten Installern bereitgestellten bösartigen Varianten der DAEMON Tools enthalten eine Hintertür, die bei der Initialisierung der ausführbaren Datei ausgeführt wird. Diese Hintertür ist dafür zuständig, GET-Anfragen an einen C2-Server zu senden, um Shell-Befehle abzurufen und diese anschließend auszuführen.
Es wurde beobachtet, dass die Angreifer diese Hintertür nutzen, um weitere Schadcode-Payloads auf infizierten Rechnern zu installieren. In den meisten Fällen gab es Versuche, ein Implantat zu installieren, das Systeminformationen sammelt. Interessanterweise enthält dieses Implantat Zeichenfolgen in chinesischer Sprache.
Bei etwa einem Dutzend betroffener Organisationen wurde jedoch spezifische Aktivitäten beobachtet – war auf einen gezielten Lieferkettenangriff hindeutet, der auf spezielle Opfer zielt. Bei diesen Opfern wurde eine minimalistische Backdoor installiert, die zum Herunterladen von Dateien und zum Ausführen von Shellcode-Payloads konzipiert war.
Darüber hinaus haben die Sicherheitsexperten festgestellt, dass nur eine der Organisationen eine einzigartige RAT erhalten hat, die in der Lage ist, Payloads einzuschleusen und eine Vielzahl von Protokollen für die Kommunikation mit C2-Servern zu nutzen – darunter WSS, QUIC, DNS und HTTP/3.
Die schädlichen Installationsprogramme von DAEMON Tools werden seit der Veröffentlichung der Version 12.5.0.2421 verbreitet. Zum Zeitpunkt der Erstellung des obigen Tweets (am 5. April 2026) sind die neuesten Versionen dieser Software weiterhin infiziert. Alle Installationsprogramme sind mit legitimen Zertifikaten signiert, die den Softwareentwicklern gehören.
Kucherin schreibt, dass man bei Kaspersky Tausende von Infektionen in über 100 Ländern festgestellt habe. Da dieser Supply-Chain-Angriff äußerst komplex ist, wird allen Nutzern von DAEMON Tools dringend empfohlen, ihre Rechner zu isolieren und einen Sicherheitsscan durchzuführen, um sich vor Malware zu schützen.
Weitere Informationen finden Sie in den IoCs, die im Blogbeitrag DAEMON Tools software infected – supply chain attack ongoing since April 8, 2026 von den Kaspersky-Mitarbeiter Igor Kuznetsov, Georgy Kucherin, Leonid Bezvershenko und Anton Kargin veröffentlicht wurden.
PakarPBN
A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.
In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.
The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.