ב-8 באפריל 2026 החל ערוץ ההפצה הרשמי של DAEMON Tools - תוכנת mounting פופולרית של חברת AVB Disc Soft - לחלק התקנים שאינם מה שהם מציגים. שלושה בינארים בליבת הסוויטה (DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe) שונו, נחתמו מחדש בתעודה דיגיטלית תקפה ולגיטימית של AVB Disc Soft, ונשלחו ללקוחות ביותר מ-100 מדינות. ב-5 במאי 2026 פרסמה Kaspersky Securelist את הניתוח המלא: backdoor פעיל מכל הפעלת מערכת, ו-QUIC RAT מתוחכם שמתחבר לשרתי שליטה דרך 6 פרוטוקולים שונים.[1][2]
קבלן ביטחוני ש-DAEMON Tools רשום ברשימת ה-trusted publishers שלו, או שמשתמש ב-allowlist קלאסי המבוסס על "publisher legitimate", התקין על תחנות הקצה תוכנה שנחתמה כראוי - וקיבל גם backdoor. זה לא כשל בחתימה הדיגיטלית עצמה - זה כשל במודל האמון שמסביב. הניתוח הזה מציג מה ייחודי במתקפה, מדוע allowlist על publisher כבר לא מספיק, ומה לעשות בארגון בתעשייה הביטחונית.
שחזור האירוע - איך התקן לגיטימי הופך לבסיס תקיפה
על פי הדוח של Kaspersky, ההפצה הזדונית החלה ב-8 באפריל 2026 וכיסתה גרסאות 12.5.0.2421 עד 12.5.0.2434. שלושת הבינארים נחתמו בתעודה תקפה של AVB Disc Soft - מה שאומר שאחת משתי אפשרויות התקיימה: התעודה הפרטית של החברה דלפה, או שהמערכת שמייצרת את ההתקנים נפרצה. בכל מקרה, מבחינת תחנת הקצה - ההתקן לגיטימי לחלוטין בכל בקרת חתימה סטנדרטית.[1]
🔴 שלב 1: הפצה דרך הערוץ הרשמי
התקנים זדוניים הופצו דרך אתר DAEMON Tools, mirrors מאומתים, ו-CDN רשמי. אין משתנה דאונלוד שמסמן בעיה - אותו URL, אותה תעודה, אותו מנגנון עדכון אוטומטי. משתמש שיש לו DAEMON Tools מותקן עם auto-update פעיל קיבל את התקן הזדוני בלי שום אינטראקציה.[2]
🟠 שלב 2: backdoor שטוח עם RC4
תוצאת ההתקנה: backdoor מינימליסטי שרץ מכל startup. הוא מחזיק shellcode מוצפן ב-RC4, מסוגל להוריד payload נוסף, להריץ פקודות, ולהזריק קוד לתהליכים קיימים. הקוד עצמו דחוס וחתום - ה-EDR הסטנדרטי מאשר את החתימה ועוזב.[1]
🔴 שלב 3: QUIC RAT - C2 רב-פרוטוקולים
על קורבנות שנבחרו ידנית (לא כולם) הוטמעה גרסה מתקדמת בשם QUIC RAT: backdoor C++ קומפילציה סטטית עם WolfSSL, שמתחבר לשרתי שליטה דרך 6 פרוטוקולים שונים: HTTP, UDP, TCP, WSS, QUIC, DNS ו-HTTP/3. זריקת הפעילות לתוך תהליכים לגיטימיים כמו notepad.exe ו-conhost.exe מקשה ניטור התנהגותי. זוהה כרגע על מטרה חינוכית רוסית - מה שמצביע על ייעוד מודיעיני, לא ראש-נפץ.[1]
🟠 שלב 4: Attribution - ככל הנראה גורם דובר סינית
מחרוזות באנליזה הסטטית של ה-payload מצביעות על מפתחים דוברי סינית. Kaspersky עצמה לא קושרת את האירוע לקבוצה ידועה. ריכוז ההדבקות: רוסיה, ברזיל, טורקיה, ספרד, גרמניה, צרפת, איטליה וסין.[1][3]
למה allowlisting קלאסי נכשל
רוב הארגונים הביטחוניים מסתמכים על שילוב של בקרות חתימה (Authenticode), allowlist מבוסס publisher (Microsoft Defender Application Control / WDAC, AppLocker) ו-EDR סטנדרטי. במקרה DAEMON Tools - כל שלוש השכבות שותקו בו-זמנית, כי כולן נסמכות על אותה הנחת יסוד שגויה: ש"חתימה תקפה של publisher מהימן" = "לא זדוני".
חתימה דיגיטלית מאמתת זהות, לא תוכן
Authenticode מוודא שהקובץ נחתם על ידי בעל המפתח הפרטי. הוא לא מוודא שהקובץ נכון, מקורי, או לא הוטמע בו payload. אם המפתח דלף או המערכת המפיקה נפרצה - החתימה ממשיכה להיות "תקפה" עד פג תוקף או revocation.
WDAC/AppLocker לפי publisher - גרגיר גס מדי
WDAC policy שמאפשרת "כל מה שחתום ע"י AVB Disc Soft" אישרה את כל 14 הגרסאות הזדוניות בלי שאלה. מדיניות מבוססת publisher היא מתאימה לחברות שאתה לא מתכוון להפיק עליהן בקרה פרטנית - אבל זה בדיוק מקור הסיכון.[4]
EDR מבוסס reputation - מתעכב
EDR שמסתמך על "האם ה-hash הזה מוכר טוב לקהילה" יצביע על "לא ידוע" עד שהדגימות יגיעו ל-cloud telemetry. עבור התקפה ממוקדת על קורבן ספציפי, ה-window של "לא ידוע אבל חתום" מספיק כדי להשלים את החדירה.
חוסר במנגנון התראה על שינוי גרסה לא צפוי
גרסה 12.5.0.2421 הוחלפה בגרסה 12.5.0.2434 ב-26 ימים בלבד. בארגונים רבים, auto-update מותקן בלי דרישה ל-staging. אין dashboard שאומר "הגרסה הזו של DAEMON Tools החליפה את הקודמת אצל 200 מהמכשירים בחודש - מישהו בדק?".
בקרות שעובדות בעולם פוסט-חתימה
השכבות הבאות מטפלות בכשלים של allowlist קלאסי, ומבוססות על הניסיון של מתקפות 2025-2026 (eScan, Notepad++, CPUID, DAEMON Tools). אף אחת אינה חדשה - אבל בארגון ביטחוני ישראלי טיפוסי, רק חלקן מיושמות.
תוכנית פעולה - מה לעשות עכשיו
ארגון ביטחוני ישראלי טיפוסי לא יקפוץ ל-default-deny ב-WDAC ביום אחד. להלן רשימת המשימות שצריך לסגור בסדר תעדוף:
- בדיקה מיידית: האם DAEMON Tools מותקן על מכונות בארגון? אם כן - איזו גרסה? בגרסאות 12.5.0.2421-2434, יש למחוק, לסרוק את המכונה ב-EDR מתקדם, ולחקור גישה לרשת מהמכונות הללו מ-08/04/2026 ואילך.
- סקירת רשימת ה-trusted publishers בארגון. מי שלא בסיכון נמוך מובהק (Microsoft, מוסדות פיננסיים מאומתים) - להסיר.
- לעבור מ-publisher rules ל-File Rules בארגון: גם אם רק לתחנות עם גישה ל-CUI לעת עתה.
- SBOM חובה לכל installer של תוכנות צד שלישי לפני אישור. אימות SBOM אוטומטי ב-deployment pipeline.
- הוספת התראה ב-EDR על "תהליך מתחבר ל-QUIC/HTTP/3 לדומיין שלא ב-allowlist". QUIC נדיר יחסית בתעבורה ארגונית סטנדרטית.
- תהליך "phase-out" לכל freeware/shareware על מכונות עם גישה לפרויקטים מסווגים. הפרדה ארכיטקטונית מ-CUI.
- עדכון תרחיש IR: מה קורה אם תוכנה חתומה מאושרת מתגלה כזדונית בדיעבד? מי מודיע למי, איך מבצעים rollback, מה עם תחנות שכבר התקיימה בהן תקשורת C2.
השורה התחתונה
חתימה דיגיטלית הייתה בקרת אבטחה משמעותית בעולם של 100 חברות תוכנה מוכרות. בעולם של 2026, אחרי ארבעה אירועים גדולים של supply chain בתוך מחצית שנה (eScan, Notepad++, CPUID, DAEMON Tools), היא הפכה ל-attestation חלשה: הוכחת זהות בלבד, לא הוכחת אמינות.
ארגון ביטחוני שלא מטמיע SBOM + behavioral EDR + Application Control עם default-deny על תחנות CUI - סומך על מודל אמון שכבר נשבר. הזמן לעבור מ-publisher allowlists ל-hash-based controls הוא לפני המקרה הבא, לא אחרי.
מקורות
- Kaspersky Securelist — Popular DAEMON Tools software compromised (2026-05-05, updated 2026-05-06)
- BleepingComputer — DAEMON Tools trojanized in supply-chain attack to deploy backdoor
- Kaspersky — Supply chain attack via DAEMON Tools (geographic distribution analysis)
- Microsoft — Windows Defender Application Control (WDAC) documentation
- NIST SP 800-161 Rev. 1 — Cybersecurity Supply Chain Risk Management Practices (SBOM guidance)