Opasna prevara: Lažni torrent Dikaprijevog filma širi višeslojni malware na Windows računarima

Lažni torrent Dikaprijevog filma krije višeslojni napad

 

Istraživači kompanije Bitdefender otkrili su da se torrent datoteka za navodni novi film Leonarda Dikaprija “One Battle After Another” koristi kao mamac za složeni cyber napad usmjeren na Windows korisnike.

Na prvi pogled izgleda kao uobičajeni piratski film, ali Bitdefender je zabilježio nagli porast detekcija povezanih s ovim torrentom. To je dovelo do otkrivanja višeslojnog mehanizma infekcije koji se prikriva pomoću legitimnih Windows komponenti – tehnike poznate kao Living Off the Land (LOTL). Ovaj pristup omogućava napadačima da se stope s normalnim sistemskim aktivnostima i izbjegnu sigurnosne alate.

 

Kako napad počinje: zlonamjerni .lnk i “legitimni” titlovi

 

Slične taktike prethodno su viđene kod lažnog torrenta “Mission: Impossible – The Final Reckoning”, kojim je širen Lumma Stealer.

Prema istraživačima, nova kampanja cilja manje iskusne korisnike koji nisu upućeni u rizike torrentovanja ili to rade vrlo rijetko.

Infekcija počinje kada korisnik preuzme torrent i klikne na datoteku CD.lnk misleći da pokreće film. Umjesto toga, aktivira se sakriveni lanac komandi koji otvara put daljoj infekciji.

Nakon toga se učitava titl datoteka Part2.subtitles.srt. Iako izgleda potpuno legitimno, u sebi sadrži nekoliko linija koda koje pokreću niz PowerShell skripti.

 

Maliciozne komponente skrivene u video i slikovnim datotekama

 

PowerShell skripte zatim izdvajaju i pokreću dodatne maliciozne komponente skrivene u drugim datotekama:

• velikoj video datoteci One Battle After Another.m2ts,
• lažnoj slici Cover.jpg.

Cijeli proces je slojevit i odvija se isključivo u RAM memoriji, što ga čini izuzetno teškim za detekciju antivirusnih alata.

 

Konačni cilj: instalacija Agent Tesle

 

Na kraju infekcijskog lanca aktivira se Agent Tesla, dobro poznati trojanac s udaljenim pristupom, prisutan na sceni još od 2014. godine.

Jednom instaliran, napadač dobija:

• potpunu kontrolu nad računarom,
• mogućnost krađe podataka, lozinki i finansijskih informacija,
• mogućnost pretvaranja uređaja u „zombi agenta“ za buduće napade.

Agent Tesla je i ranije korišten u brojnim kampanjama, uključujući one vezane za phishing mailove s COVID-19 temom.

 

Hiljade korisnika izloženo riziku

 

Bitdefender navodi da je lažni torrent imao „hiljade seed-era i leech-era“, što ukazuje na potencijalno veliki broj zaraženih korisnika.

Ovaj slučaj ponovo pokazuje koliko se lako malware može sakriti u „besplatnom“ sadržaju na internetu – posebno u piratskim preuzimanjima.