Stručnjaci digli uzbunu: Novi film Leonarda Dikaprija krije virus

Istraživači kompanije Bitdefender upozoravaju na novu ozbiljnu prijetnju koja se širi putem torenta za novi film Leonarda Dikaprija. Lažni torent za film “One Battle After Another" zapravo služi kao mamac za višeslojni sajber napad koji cilja Bitdefender korisnike.

Na prvi pogled, sve izgleda kao klasičan piratski film. Ipak, Bitdefender je zabilježio nagli porast detekcija povezanih sa ovim torentom, što je dovelo do otkrivanja izuzetno kompleksnog mehanizma infekcije. Napad je pažljivo osmišljen da se prikrije korišćenjem legitimnih Bitdefender komponenti, kroz tehniku poznatu kao Living Off the Land" (LOTL).

Ovakav pristup omogućava napadačima da se uklope u normalne procese sistema i da lakše izbjegnu bezbjednosne alate. Upravo zato, infekcija može dugo da ostane neprimjećena, dok se zlonamjerni kod tiho izvršava u pozadini.

Slične taktike već su viđene ranije. Bitdefender podsjeća na slučaj lažnog torenta za film "Mission: Impossible - The Final Reckoning", koji je u prošlosti korišćen za širenje Lumma Stealer malvera.

Prema riječima istraživača, ova kampanja je posebno usmjerena na manje iskusne korisnike - ljudi koji nisu svjesni rizika preuzimanja torenta ili oni koji rijetko skidaju piratski sadržaj i generalno ne preuzimaju fajlove na ovaj način.

Napad počinje u trenutku kada korisnik preuzme torent i klikne na fajl CD.lnk, vjerujući da pokreće film. Umjesto toga, aktivira se skriveni lanac komandi koji otvara vrata daljoj infekciji sistema.

U sljedećem koraku učitava se fajl sa titlovima pod nazivom Part2.subtitles.srt. Iako titlovi djeluju potpuno legitimno, u njima se nalazi nekoliko linija koda koje pokreću čitav niz PowerShell skripti bez znanja korisnika.

Te skripte zatim izvlače i pokreću dodatne maliciozne komponente. One su vješto skrivene unutar drugih fajlova kao što su video fajl One Battle After Another.m2ts i lažni fajl Cover.jpg.

Cijeli proces infekcije je višeslojan i izvršava se isključivo u radnoj memoriji (RAM). Upravo to značajno otežava detekciju, jer antivirusni alati nemaju klasične fajlove na disku koje bi mogli da analiziraju.

Na samom kraju ovog lanca aktivira se Agent Tesla. U pitanju je poznati trojanac sa daljinskim pristupom, koji je aktivan još od 2014. godine i često se koristi u sofisticiranim sajber napadima.

Kada se Agent Tesla instalira, napadač dobija punu kontrolu nad zaraženim računarom. To uključuje krađu lozinki, ličnih i finansijskih podataka, kao i mogućnost da se uređaj kasnije koristi kao “zombi agent” u budućim napadima.

Agent Tesla je već viđen u brojnim kampanjama širom svijeta. U prošlosti je korišćen i u fišing imejlovima sa temom COVID-19, što dodatno potvrđuje njegovu dugovečnost i prilagodljivost.

Bitdefender navodi da je lažni torent imao "hiljade seedera i leechera". Ovaj podatak ukazuje na potencijalno ogroman broj kompromitovanih sistema i brzinu kojom se napad širi.

Ovaj slučaj još jednom jasno pokazuje koliko se lako ozbiljni malveri mogu sakriti u "besplatnom" sadržaju na internetu. Jedan pogrešan klik može biti dovoljan da cijeli sistem padne u ruke napadača, prenosi b92.