Pelemahan DAEMON Tools Menggunakan Malware, Menginfeksi Ribuan Pengguna di Seluruh Dunia
DAEMON Tools, program populer yang biasa digunakan untuk membuat dan menggunakan drive virtual di komputer, ternyata baru-baru ini terinfeksi dengan malware yang berbahaya dan menargetkan banyak penggunanya. Para ahli keamanan memberikan peringatan mengenai hal ini.
Tim peneliti dari Kaspersky melaporkan bahwa mereka menemukan adanya pembobolan pada situs web yang menyimpan DAEMON Tools sekitar 8 April 2026. Penyerang berhasil menambahkan beberapa versi baru perangkat lunak, mulai dari 12.5.0.2421 hingga 12.5.0.2434, termasuk file DTHelper.exe, DiscSoftBusServiceLite.exe, dan DTShellHlp.exe.
Setelah diinstal, versi-versi ini menyebarkan berbagai varian malware. Pertama, korban akan terinfeksi dengan infostealer dasar yang mencuri data sistem seperti hostname, alamat MAC, proses yang sedang berjalan, perangkat lunak yang terpasang, dan locale sistem. Data ini kemudian dikirim kembali kepada penyerang. Berdasarkan informasi yang diterima, malware kemudian melanjutkan ke tahap kedua dengan menyebarkan backdoor ringan yang bisa menjalankan perintah, mengunduh file, dan mengeksekusi kode secara langsung di memori.
Serangan yang Sangat Terarah
DAEMON Tools sangat populer di awal 2000-an, dan hingga sekarang masih banyak digunakan oleh pengguna di seluruh dunia.
Kaspersky mencatat bahwa hanya di antara pelanggan mereka sudah ada “beberapa ribu upaya infeksi” sejak awal April. Korban tersebar di lebih dari 100 negara, dengan jumlah terbanyak di Rusia, Brasil, Turki, Spanyol, Jerman, Prancis, Italia, dan Cina.
Penelitian mereka juga mengindikasikan bahwa ini adalah serangan yang sangat terarah. Para penyerang tidak bisa memilih siapa yang akan terinfeksi oleh infostealer, karena malware ini dihosting di situs DAEMON Tools. Namun, tahap kedua hanya terdeteksi di beberapa mesin yang dimiliki oleh organisasi pemerintahan, ilmiah, manufaktur, dan ritel di Rusia, Belarus, dan Thailand.
“Cara penyebaran backdoor ke subset kecil dari mesin yang terinfeksi ini secara jelas menunjukkan bahwa penyerang memiliki niat untuk melakukan infeksi dengan cara yang terarah. Namun, niat mereka—apakah itu untuk spionase siber atau hunting besar—sekarang masih belum jelas,” tambah Kaspersky.
Meski belum bisa mengidentifikasi siapa pelakunya, Kaspersky percaya bahwa mereka berasal dari China.
