Bitdefender’daki siber güvenlik araştırmacıları, yeni Leonardo DiCaprio filmi One Battle After Another’ın torrent dosyasındaki bulguları yayınladı. Basit, ücretsiz bir film indirme gibi görünen şeyin, şüphelenmeyen Windows kullanıcılarına bulaşmak için tasarlanmış gizli, çok adımlı bir siber saldırıya dönüştüğü ortaya çıktı.
Bitdefender araştırmacıları ilk olarak bu sahte film torrentiyle ilgili tespitlerde ani bir artış fark etti. Daha fazla araştırdıklarında, Karada Yaşamak (LOTL) olarak bilinen bir teknik olan, güvenlik korumalarından kaçmak için yaygın Windows programlarını kullanan son derece karmaşık bir enfeksiyon süreci tespit ettiler.
Bu yöntem normal sistem etkinliğine uyum sağlamak için kullanılır. Virüs yaymak için sahte multimedya dosyalarının kullanılmasının yeni olmadığını belirtmekte fayda var; araştırmacılar daha önce benzer bir taktiğin Mission: Impossible – The Final Reckoning filminde Lumma Stealer’ı yaymak için kullanıldığını bildirmişlerdi.
Altyazılarda Gizli Tehdit
Bugün yayınlanmadan önce Hackread.com ile paylaşılan Bitdefender araştırması, bir kullanıcının film torrentini indirip adlı bir kısayol dosyasına tıkladığında ortaya çıktı. CD.lnk Filmi başlatmak için farkında olmadan gizli bir komutlar zincirini başlattılar.
Araştırmacılara göre, bu özel saldırı, torrent risklerine aşina olmayan veya torrentler aracılığıyla nadiren yetkisiz içerik veya içerik indiren daha az deneyimli kullanıcıları hedef alıyor gibi görünüyor.
Saldırı, adlı bir altyazı dosyası aracılığıyla ilerliyor. Part2.subtitles.srt. Dosya gerçek altyazılar içerse de, birkaç belirli satır birden fazla PowerShell betiğini başlatan kötü amaçlı kod içeriyor.
Bu komut dosyaları daha sonra diğer film dosyalarından, adı verilen büyük bir video dosyası gibi daha fazla gizli programı çıkarıp çalıştırır. One Battle After Another.m2ts ve Cover.jpg adlı sahte bir resim dosyası. Tüm bu süreç oldukça katmanlıdır ve son virüsü tamamen bilgisayarın belleğinde çalıştırır; bu da güvenlik yazılımının tespitini zorlaştıran bir tekniktir.
Ajan Tesla Yükü
Bu ayrıntılı planın nihai hedefi, Agent Tesla kötü amaçlı yazılımını yüklemektir. Bu, saldırganlara kurbanın bilgisayarı üzerinde tam uzaktan kontrol sağlayan bir Uzaktan Erişim Truva Atı’dır (RAT).
Saldırganlar kurulduktan sonra kişisel ve finansal verileri çalabilir veya virüs bulaşmış Windows PC’yi araştırmacıların “zombi ajan” olarak adlandırdığı, gelecekteki saldırılarda kullanılmaya hazır hale getirebilir. Ajan Tesla, 2014’ten beri ortalıkta ve aralarında COVID-19 ile ilgili kimlik avı e-postaları da bulunan çeşitli geçmiş kampanyalarda kullanılmıştı.
Kötü haber şu ki, sahte film torrentinde “binlerce ekici ve sülük” bulunduğunun belirtilmesi, çok sayıda insanın bu riske maruz kaldığını gösteriyor. Bu bulgu, tehditlerin çevrimiçi olarak ücretsiz eğlence vaat eden dosyalarda kolaylıkla gizlenebileceğini göstermektedir.