Malware Incar Ribuan PC Lewat Installer Resmi Daemon Tools

Malware Incar Ribuan PC Lewat Installer Resmi Daemon Tools
Foto: Ilustrasi Malware Incar Ribuan PC Lewat Installer Resmi Daemon Tools.

Ribuan komputer di lebih dari 100 negara menjadi sasaran serangan rantai pasokan berbahaya melalui installer perangkat lunak Daemon Tools Lite yang telah disisipi malware sejak Kamis, 8 April 2026. Peretas dilaporkan mendistribusikan backdoor tersebut secara langsung melalui situs web resmi pengembang program tersebut.

Dilansir dari Detik iNET, tim peneliti keamanan siber dari Kaspersky menemukan bahwa infeksi ini menyerang beberapa versi Daemon Tools Lite. Rentang versi yang terdampak mencakup edisi 12.5.0.2421 hingga versi 12.5.0.2434 yang diunduh pengguna global.

Metode serangan ini dinilai sangat canggih karena installer beracun tersebut ditandatangani menggunakan sertifikat digital sah milik AVB Disc Soft. Penggunaan identitas resmi pengembang membuat sistem keamanan PC gagal mendeteksi aktivitas mencurigakan selama hampir satu bulan penuh.

Peneliti menemukan peretas menyuntikkan kode berbahaya ke dalam tiga file biner utama dalam installer asli. File-file tersebut meliputi DTHelper.exe, DiscSoftBusServiceLite.exe, dan DTShellHlp.exe yang biasanya menetap di direktori instalasi bawaan Windows.

Ketika salah satu dari ketiga file tersebut dijalankan, malware akan aktif dan segera mengirimkan data ke URL berbahaya. Domain yang digunakan peretas dirancang agar terlihat sangat mirip dengan domain resmi milik Daemon Tools guna mengecoh pengawasan jaringan.

Pada fase awal infeksi, perangkat lunak berbahaya ini mengumpulkan data sistem secara masif untuk melakukan profiling pengguna. Data yang diambil mencakup alamat MAC, nama host, daftar aplikasi terinstal, proses yang berjalan, hingga lokasi geografis pengguna.

Meskipun belum dapat mengidentifikasi kelompok spesifik di balik aksi ini, Kaspersky menemukan indikasi kode yang merujuk pada penutur bahasa Mandarin. Sebagian besar korban yang terdeteksi berada di Rusia, Brasil, Turki, Spanyol, Jerman, Prancis, Italia, dan China.

Serangan tahap kedua dilakukan dengan sangat selektif karena hanya dikirimkan ke belasan perangkat yang merupakan target spesifik. Korban utama meliputi perusahaan ritel besar, pabrik manufaktur, organisasi ilmiah, lembaga pemerintah, dan institusi pendidikan di Rusia, Belarusia, dan Thailand.

Ketatnya seleksi target tersebut memperkuat kesimpulan peneliti bahwa operasi ini bertujuan untuk spionase terhadap organisasi tertentu. Kaspersky telah melaporkan temuan ini kepada pihak AVB Disc Soft untuk segera ditindaklanjuti secara teknis.

Para pengguna Daemon Tools kini diimbau untuk segera memindai perangkat mereka menggunakan antivirus guna mendeteksi adanya injeksi kode. Pengguna diminta mewaspadai aktivitas mencurigakan pada direktori publik seperti Temp, AppData, atau Public, sebagaimana dikutip detikINET dari TechSpot pada Kamis, 7 Mei 2026.

Artikel terkait

Rekomendasi