.webp)
Software disk imaging populer, Daemon Tools, baru-baru ini menjadi korban serangan rantai pasokan yang sangat rapi dan berbahaya. Para peretas dilaporkan mendistribusikan installer Windows yang telah disisipi malware langsung melalui situs web resmi program tersebut.
Kampanye peretasan yang membuka backdoor ke ribuan PC di seluruh dunia ini diyakini telah dimulai sejak 8 April lalu. Insiden ini setidaknya telah menelan korban di lebih dari 100 negara sebelum akhirnya berhasil diendus oleh pakar keamanan.
Manfaatkan Sertifikat Digital Sah
Tim peneliti keamanan siber dari Kaspersky menemukan bahwa serangan tersebut menginfeksi beberapa versi Daemon Tools Lite, membentang dari versi 12.5.0.2421 hingga 12.5.0.2434.
SCROLL TO CONTINUE WITH CONTENT
Hal yang membuat serangan ini sangat sulit dideteksi oleh sistem keamanan PC adalah karena installer beracun tersebut diunduh dari situs resmi dan ditandatangani menggunakan sertifikat digital yang sah milik AVB Disc Soft, selaku pengembang software. Celah inilah yang membuat aksi peretas berjalan mulus tanpa hambatan selama hampir sebulan penuh.
Para peneliti menemukan bahwa peretas menyuntikkan malware ke dalam setidaknya tiga file biner yang tergabung dalam installer asli, yakni:
- `DTHelper.exe`
- `DiscSoftBusServiceLite.exe`
- `DTShellHlp.exe`
Ketiga file tersebut biasanya bersarang di direktori instalasi bawaan Windows (C:Program FilesDaemon Tools Lite). Setiap kali salah satu file itu dieksekusi, malware akan langsung aktif dan mengirimkan data ke URL berbahaya yang sengaja dibuat semirip mungkin dengan domain resmi Daemon Tools.
Incar Data Spesifik dan Organisasi Penting
Pada tahap awal infeksi, malware ini akan mengumpulkan data sistem secara besar-besaran untuk proses profiling. Data yang disedot mencakup alamat MAC, nama host, daftar aplikasi yang terinstal, proses yang sedang berjalan, konfigurasi jaringan, hingga lokasi pengguna.
Kaspersky belum dapat mengidentifikasi kelompok peretas mana yang mendalangi aksi ini. Namun, baris kode yang ditemukan pada tahap awal serangan mengindikasikan bahwa pelakunya adalah penutur bahasa Mandarin.
Sebagian besar korban dilaporkan berada di Rusia, Brasil, Turki, Spanyol, Jerman, Prancis, Italia, dan China. Menariknya, serangan payload tahap kedua ternyata hanya dikirimkan ke belasan perangkat saja. Seluruh target spesifik ini diketahui merupakan milik perusahaan ritel raksasa, pabrik manufaktur, organisasi ilmiah, lembaga pemerintah, dan institusi pendidikan yang berbasis di Rusia, Belarusia, dan Thailand.
Seleksi target yang sangat ketat tersebut membuat para peneliti menyimpulkan dengan tingkat keyakinan tinggi bahwa operasi ini dirancang untuk spionase yang menargetkan individu dan organisasi tertentu, bukan sekadar kejahatan siber acak.
Saat ini, Kaspersky telah melaporkan temuan tersebut kepada AVB Disc Soft. Sembari menunggu kejelasan lebih lanjut, seluruh pengguna Daemon Tools diimbau untuk segera melakukan pemindaian malware (antivirus) di PC masing-masing, serta mewaspadai adanya injeksi kode mencurigakan dari direktori yang dapat diakses publik seperti Temp, AppData, atau Public, demikian dikutip detikINET dari TechSpot, Kamis (7/5/2026).
(asj/asj)
