Торент-фајлот за новиот филм со Леонардо Дикаприо служи како мамка за повеќеслоен сајбер напад насочен кон корисниците на Windows.


Истражувачите на компанијата Bitdefender открија дека торент-датотеката за новиот филм на Леонардо Дикаприо „One Battle After Another“ служи како мамка за повеќеслоен кибер-напад насочен кон корисниците на Windows.

На прв поглед, изгледа како типичен пиратски филм. Сепак, Bitdefender забележа пораст на детекции поврзани со овој торент, што доведе до откривање на сложен механизам за инфекција дизајниран да се маскира со користење на легитимни компоненти на Windows – техника позната како Living Off the Land (LOTL).

Овој пристап им овозможува на напаѓачите да се вклопат во нормалната системска активност и да ги избегнат безбедносните алатки.

Слични тактики претходно се видени со торентот за филмот Mission: Impossible – The Final Reckoning, кој го ширеше Lumma Stealer.

Според истражувачите, овој напад е насочен кон помалку искусни корисници кои не се запознаени со ризиците од торентите или кои ретко преземаат пиратска содржина и содржина од торент воопшто.

Нападот започнува кога корисникот ќе преземе торент и ќе кликне на CD.lnk за да го стартува филмот. Ова всушност активира скриен синџир на команди што го отвора патот за понатамошна инфекција.

Потоа се вчитува датотеката со титлови Part2.subtitles.srt. Титловите изгледаат сосема легитимно, но неколку линии код во нив извршуваат серија PowerShell скрипти.

Овие скрипти извлекуваат и извршуваат дополнителни злонамерни компоненти скриени во други датотеки, вклучувајќи голема видео датотека One Battle After Another.m2ts и лажна датотека Cover.jpg.

Целиот процес е многу слоевит и работи исклучиво во RAM меморија, што го отежнува откривањето на антивирусните алатки.

На крајот од овој синџир на инфекција, се активира Agent Tesla, добро познат тројанец за далечински пристап кој постои од 2014 година.

Откако ќе се инсталира, напаѓачот добива далечински пристап до заразениот компјутер, можност за кражба на податоци, лозинки и финансиски информации и контрола на уредот, кој може да стане „зомби агент“ во идните напади.

Агентот Тесла е користен во голем број кампањи во минатото, вклучително и фишинг е-пораки со тема COVID-19.

Bitdefender вели дека лажниот торент имал „илјадници seed-ери и leech-ери“, што укажува на голем број потенцијални инфекции.

Овој случај уште еднаш покажува колку лесно малициозниот софтвер може да се скрие во „бесплатната“ содржина на интернет.