Стручњаци дигли узбуну: Нови филм Леонарда Дикаприја крије вирус

Истраживачи компаније Bitdefender упозоравају на нову озбиљну пријетњу која се шири путем торента за нови филм Леонарда Дикаприја. Лажни торент за филм “One Battle After Another" заправо служи као мамац за вишеслојни сајбер напад који циља Bitdefender кориснике.

На први поглед, све изгледа као класичан пиратски филм. Ипак, Bitdefender је забиљежио нагли пораст детекција повезаних са овим торентом, што је довело до откривања изузетно комплексног механизма инфекције. Напад је пажљиво осмишљен да се прикрије коришћењем легитимних Bitdefender компоненти, кроз технику познату као Living Off the Land" (LOTL).

Овакав приступ омогућава нападачима да се уклопе у нормалне процесе система и да лакше избјегну безбједносне алате. Управо зато, инфекција може дуго да остане непримјећена, док се злонамјерни код тихо извршава у позадини.

Сличне тактике већ су виђене раније. Bitdefender подсјећа на случај лажног торента за филм "Mission: Impossible - The Final Reckoning", који је у прошлости коришћен за ширење Lumma Stealer малвера.

Према ријечима истраживача, ова кампања је посебно усмјерена на мање искусне кориснике - људи који нису свјесни ризика преузимања торента или они који ријетко скидају пиратски садржај и генерално не преузимају фајлове на овај начин.

Напад почиње у тренутку када корисник преузме торент и кликне на фајл CD.lnk, вјерујући да покреће филм. Умјесто тога, активира се скривени ланац команди који отвара врата даљој инфекцији система.

У сљедећем кораку учитава се фајл са титловима под називом Part2.subtitles.srt. Иако титлови дјелују потпуно легитимно, у њима се налази неколико линија кода које покрећу читав низ PowerShell скрипти без знања корисника.

Те скрипте затим извлаче и покрећу додатне малициозне компоненте. Оне су вјешто скривене унутар других фајлова као што су видео фајл One Battle After Another.m2ts и лажни фајл Cover.jpg.

Цијели процес инфекције је вишеслојан и извршава се искључиво у радној меморији (РАМ). Управо то значајно отежава детекцију, јер антивирусни алати немају класичне фајлове на диску које би могли да анализирају.

На самом крају овог ланца активира се Агент Тесла. У питању је познати тројанац са даљинским приступом, који је активан још од 2014. године и често се користи у софистицираним сајбер нападима.

Када се Агент Тесла инсталира, нападач добија пуну контролу над зараженим рачунаром. То укључује крађу лозинки, личних и финансијских података, као и могућност да се уређај касније користи као “зомби агент” у будућим нападима.

Агент Тесла је већ виђен у бројним кампањама широм свијета. У прошлости је коришћен и у фишинг имејловима са темом COVID-19, што додатно потврђује његову дуговечност и прилагодљивост.

Bitdefender наводи да је лажни торент имао "хиљаде seedera i leechera". Овај податак указује на потенцијално огроман број компромитованих система и брзину којом се напад шири.

Овај случај још једном јасно показује колико се лако озбиљни малвери могу сакрити у "бесплатном" садржају на интернету. Један погрешан клик може бити довољан да цијели систем падне у руке нападача, преноси б92.