Torrent-Dateien für nachgefragte Filme werden von Hackern gerne missbraucht, um Schadsoftware auf den Rechnern der Nutzer auszuspielen. Aktuell beobachten die Bitdefender Labs, wie Cyberkriminelle mit vermeintlichen Torrent-Dateien zum Download des Di-Caprio-Films „One Battle After Another“ den bekannten Remote-Access-Trojaner Agent-Tesla auf Windows-Opfersystemen installieren. Der jüngste Film der bekannten US-Schauspieler Di Caprio und Sean Penn unter der Regie von Paul Thomas Anderson ist aktuell ein aufmerksamkeitsstarkes Malware-Vehikel, gilt doch der für neun Golden Globes nominierte Mix aus Dystopie, Actionthriller und Komödie auch als Favorit für die Oscars. Gerade für Filme, die neu ins Kino kommen oder nur im Pay-Per-View-Stream verfügbar sind, sind Torrent-Dateien ein vielgeklickter und damit effektiver, weil reichweitenstarker Weg für Attacken. Wie viele Nutzer dem Fake-Download zum Opfer fallen, lässt sich nicht exakt beziffern. Viele Indizien sprechen aber für eine starke Verbreitung.
Malware in Torrent-Dateien oder vermeintlichen Multimedia-Dateien von Filmen oder TV-Shows zu verstecken, ist kein neuer Trend. Er hat jedoch in den letzten Jahren neuen Schwung erhalten. So nutzten Cyberkriminelle „Mission: Impossible – The Final Reckoning” als Lockvogel, um Lumma-Stealer zu verbreiten. Damit zielten sie unter anderem auf Passwörter, Cookies, Krypto Wallets sowie Zugangsdaten von Desktop Tools. Die Agent-Tesla-Malware kam in den letzten Jahren in verschiedenen Kampagnen wie Phishing oder unter dem Vorwand einer vermeintlichen Anmeldung für COVID-Impfungen zum Einsatz.
Komplexe Angriffskette
Sorglos greifen die Opfer auf das vermeintliche begehrte Filmpaket zu. Die Shortcut-Datei CD.Ink startet scheinbar den Download. Mit dem Klick lösen die Nutzer aber eine verborgene Befehlskette aus, die eine Reihe bösartiger Skripts ausführt. Diese befinden sich in der vermeintlichen Datei für Filmuntertitel Part2.subtitles.srt. Angreifer nutzen verschiedene legitime Windows-Utilities wie CMD, PowerShell oder Task Scheduler, um verschiedene Layer verschlüsselter Daten zu entpacken.
Die Kompilation von Powershell-Skripten und Image-Archives ergeben den Command-and-Control (C2)-Agenten Agent Tesla. Dieser wird vollständig im Arbeitsspeicher (Memory) ausgeführt und tarnt sich so vor einer Entdeckung. Nach der Installation erhalten die Angreifer die vollständige Kontrolle über die infizierte Hardware, um Zugangsdaten zu stehlen, Daten zu exfiltrieren und weitere Aktionen durchzuführen.
Bemerkenswert ist der Einsatz von Powershell und anderer Living-Off-The-Land (LOTL)-Tools. Haben die Angreifer die Kontrolle über das Windows-System erlangt, besitzen sie eine weitere Basis für spätere Attacken für weitere Angriffe. Offenbar richtet sich die Attacke gegen Nutzer, die nur selten illegale Downloads herunterladen oder die Risiken einer Torrent-Datei nicht kennen.
Info: Die vollständige Analyse findet sich unter: https://www.bitdefender.com/en-us/blog/labs/fake-leonardo-dicaprio-movie-torrent-agent-tesla-powershell.
#Bitdefender
