Katarzyna Petru
Cyberprzestępcy znaleźli nowy sposób na infekowanie komputerów z Windows. Fałszywa kopia filmu One Battle After Another z Leonardo DiCaprio, rozpowszechniana w sieciach torrent, zawiera złośliwe oprogramowanie ukryte w… pliku z napisami. Eksperci ostrzegają, że to dopiero początek nowej fali ataków. Zagrożenie zostało wykryte przez firmę BitDefender, która zwraca uwagę na coraz bardziej wyrafinowane metody dystrybucji malware, wykorzystujące zaufanie użytkowników do popularnych tytułów filmowych. Po zainstalowaniu złośliwego oprogramowania atakujący uzyskują pełny, zdalny dostęp do komputera ofiary.
„Ten typ malware został zaprojektowany z jednym celem – zapewnić cyberprzestępcom nieograniczony dostęp do systemu Windows. Po przejęciu kontroli mogą oni kraść dane finansowe i osobiste lub wykorzystywać komputer do kolejnych ataków” – ostrzega BitDefender.
Malware ukryte w napisach
W samym ataku nie ma nic nowego – wykorzystane zostało dobrze znane złośliwe oprogramowanie Agent Tesla. Nowością jest jednak sposób jego dystrybucji. Malware rozpowszechniane jest poprzez torrenty zawierające fałszywą wersję filmu One Battle After Another – a według BitDefendera możliwe, że także inne popularne tytuły. Co istotne, wielu użytkowników nie zauważa, że sam film w ogóle się nie uruchamia, ponieważ infekcja następuje wcześniej.
BitDefender szacuje, że na ten trik nabrało się już kilka tysięcy osób. W paczce torrent znajduje się plik skrótu o nazwie CD.lnk, który sugeruje uruchomienie filmu. W rzeczywistości jego otwarcie inicjuje łańcuch skryptów wykorzystujących legalne procesy systemu Windows.
Kluczowy element ataku ukryty jest w pliku z napisami – dokładnie w linii 5005. To tam znajduje się polecenie PowerShell, które rozpoczyna instalację malware. Pozostała część pliku z napisami wygląda całkowicie normalnie, co znacząco utrudnia wykrycie zagrożenia. Szczegółowy opis całego mechanizmu BitDefender opublikował na swoim blogu.
To dopiero początek
Nie jest to pierwszy przypadek wykorzystywania fałszywych torrentów do infekowania komputerów.
„Wcześniej film Mission: Impossible – The Final Reckoning był wykorzystywany do dystrybucji malware Lumma Stealer, które kradnie hasła, pliki cookies, dane portfeli kryptowalut, a także poświadczenia narzędzi do zdalnego pulpitu” – przypomina BitDefender.
Eksperci nie mają wątpliwości, że sytuacja będzie się pogarszać.
„W ciągu ostatnich kilku lat liczba zainfekowanych torrentów obiecujących najnowsze filmy i seriale gwałtownie wzrosła. Atakujący wyraźnie odkryli skuteczny wektor ataku, a Agent Tesla staje się jednym z ich ulubionych narzędzi” – podsumowuje firma.
