A Bitdefender kiberbiztonsági kutatói azonosítottak egy, a One Battle After Another címével visszaélő torrentcsomagot, amely a feliratfájlba rejtett rosszindulatú PowerShell-loadereken keresztül Agent Tesla RAT-fertőzést terjeszt.
Az Agent Tesla egy 2014 óta aktívan használt, Windows-környezetet célzó RAT és információlopó kártevő, amelyet főként böngészőkben, e-mail kliensekben, FTP- és VPN-kliensekben tárolt hitelesítő adatok megszerzésére, valamint képernyőképek készítésére alkalmaznak. Bár nem új fenyegetés, a stabil működés és az egyszerű „bevethetőség” miatt továbbra is széles körben elterjedt.
Kártevőindítás feliratfájlból
A támadások során terjesztett One Battle After Another torrent több állományt tartalmazott:
- videófájl: One Battle After Another[.]m2ts,
- képfájlok: Photo[.]jpg, Cover[.]jpg,
- feliratfájl: Part2[.]subtitles[.]srt, valamint
- parancsikon: CD[.]lnk (látszólag a film indítására)
A CD nevű parancsikon futtatásakor Windows-parancsok indulnak el, amelyek a feliratfájl 100–103. sorai közé ágyazott rosszindulatú PowerShell-szkriptet bontják ki és hajtják végre. A szkript ezt követően ugyanebből a feliratfájlból további, AES-sel titkosított adatblokkokat nyer ki, majd ezekből öt PowerShell-szkriptet állít össze. A létrehozott állományokat a következő könyvtárba helyezi:
C:\Users\<FELHASZNÁLÓ>\AppData\Local\Microsoft\Diagnostics
A kinyert PowerShell-szkriptek dropperként működnek és az alábbi lépéseket hajtják végre a fertőzött rendszeren:
- fázis: a One Battle After Another[.]m2ts fájlt archívumként kezeli és egy elérhető tömörítő eszközzel kibontja.
- fázis: létrehoz egy rejtett ütemezett feladatot (RealtekDiagnostics), amely a RealtekCodec[.]bat fájlt futtatja.
- fázis: dekódolja a Photo[.]jpg fájlba ágyazott bináris adatokat, majd a helyreállított fájlokat a Windows Hangdiagnosztika gyorsítótárába írja.
- fázis: ellenőrzi, hogy létezik-e a %LOCALAPPDATA%\Packages\Microsoft.WindowsSoundDiagnostics\Cache könyvtár, és szükség esetén létrehozza.
- fázis: a Cover[.]jpg tartalmát kibontja a Cache könyvtárba.
A végső fázisban kinyert komponensek ellenőrzik, hogy aktív-e a Windows Defender, telepítik a Go-futtatókörnyezetet, kicsomagolják az Agent Tesla malware-t, majd memóriából betöltve futtatják.
A Bitdefender megfigyelései szerint más filmcímekkel (például Mission Impossible – The Final Reckoning) visszaélő kampányokban eltérő kártevőcsaládokat is használtak, többek között a Lumma Stealer variánsait.
Az anonim forrásból származó torrentcsomagok kiemelten magas kockázatot jelentenek és rendszeresen tartalmaznak rosszindulatú kódot. Információbiztonsági szempontból a filmek kalózverzióinak bármilyen formában történő letöltése határozottan ellenjavalt.