Thought Leadership
Cyberkriminelle missbrauchen derzeit vermeintliche Torrent-Dateien des DiCaprio-Films „One Battle After Another“, um den Remote-Access-Trojaner Agent Tesla auf Windows-Systeme zu schleusen. Torrent-Dateien für beliebte Filme werden häufig genutzt, um Schadsoftware zu verbreiten.
Der jüngste Film der bekannten US-Schauspieler Leonardo DiCaprio und Sean Penn unter der Regie von Paul Thomas Anderson ist aktuell ein aufmerksamkeitsstarkes Malware-Vehikel, gilt doch der für neun Golden Globes nominierte Mix aus Dystopie, Actionthriller und Komödie auch als Favorit für die Oscars. Gerade für Filme, die neu ins Kino kommen oder nur im Pay-Per-View-Stream verfügbar sind, sind Torrent-Dateien ein vielgeklickter und damit effektiver, weil reichweitenstarker Weg für Attacken. Wie viele Nutzer dem Fake-Download zum Opfer fallen, lässt sich nicht exakt beziffern. Viele Indizien sprechen aber für eine starke Verbreitung.
Malware in Torrent-Dateien oder vermeintlichen Multimedia-Dateien von Filmen oder TV-Shows zu verstecken, ist kein neuer Trend. Er hat jedoch in den letzten Jahren neuen Schwung erhalten. So nutzten Cyberkriminelle „Mission: Impossible – The Final Reckoning” als Lockvogel, um Lumma Stealer zu verbreiten. Damit zielten sie unter anderem auf Passwörter, Cookies, Krypto Wallets sowie Zugangsdaten von Desktop Tools. Die Agent-Tesla-Malware kam in den letzten Jahren in verschiedenen Kampagnen wie Phishing oder unter dem Vorwand einer vermeintlichen Anmeldung für COVID-Impfungen zum Einsatz.
Komplexe Angriffskette
Sorglos greifen die Opfer auf das vermeintliche begehrte Filmpaket zu. Die Shortcut-Datei CD.Ink startet scheinbar den Download. Mit dem Klick lösen die Nutzer aber eine verborgene Befehlskette aus, die eine Reihe bösartiger Skripts ausführt. Diese befinden sich in der vermeintlichen Datei für Filmuntertitel Part2.subtitles.srt. Angreifer nutzen verschiedene legitime Windows-Utilities wie CMD, PowerShell oder Task Scheduler, um verschiedene Layer verschlüsselter Daten zu entpacken.
Die Kompilation von PowerShell-Skripten und Image-Archives ergeben den Command-and-Control (C2)-Agenten Agent Tesla. Dieser wird vollständig im Arbeitsspeicher (Memory) ausgeführt und tarnt sich so vor einer Entdeckung. Nach der Installation erhalten die Angreifer die vollständige Kontrolle über die infizierte Hardware, um Zugangsdaten zu stehlen, Daten zu exfiltrieren und weitere Aktionen durchzuführen.
Bemerkenswert ist der Einsatz von PowerShell und anderer Living-Off-The-Land (LOTL)-Tools. Haben die Angreifer die Kontrolle über das Windows-System erlangt, besitzen sie eine weitere Basis für spätere Attacken für weitere Angriffe. Offenbar richtet sich die Attacke gegen Nutzer, die nur selten illegale Downloads herunterladen oder die Risiken einer Torrent-Datei nicht kennen.
Die vollständige Analyse sollte hier zu finden sein.
(ds/Bitdefender)
