Cyberkriminelle nutzen gefälschten Leonardo-DiCaprio-Film-Torrent, um Malware zu verbreiten

Cybersicherheitsforscher von Bitdefender haben entdeckt, dass eine gefälschte Torrent-Datei von Leonardo DiCaprios neuem Film „One Battle After Another“ eine komplexe Reihe von Skripten enthält, die Windows-Benutzer mit einem leistungsstarken Trojaner namens Agent Tesla infizieren sollen.

Wenn Nutzer den Film herunterladen, erwarten sie eine Videodatei. Stattdessen enthält der Torrent jedoch eine Reihe versteckter PowerShell-Skripte, die eine speicherresidente Malware-Payload entpacken, entschlüsseln und ausführen.

Kriminelle nutzen beliebte Filme, da die Zahl der Nutzer, die nach ihnen suchen, während sie noch im Kino laufen, höher ist. Tausende haben diesen Torrent heruntergeladen, was zeigt, dass die Nachfrage nach Raubkopien von Filmen gefährliche Malware-Kampagnen begünstigt.

Film herunterladen, infiziert werden

Der gefälschte DiCaprio-Film enthält überhaupt keine Videodatei. Tatsächlich enthält er einen inszenierten Angriff, der darauf abzielt, Agent Tesla zu installieren – einen Fernzugriffstrojaner, mit dem Passwörter, Finanzdaten und Browserinformationen gestohlen werden können, während Kriminelle die vollständige Kontrolle über den infizierten PC erhalten.

Der Angriff zielt darauf ab, Menschen zu täuschen, die normalerweise keine Medien raubkopieren. Das wird deutlich, wenn man sich ansieht, was Nutzer tun müssen, um sich tatsächlich zu infizieren. Der Torrent enthält außerdem eine große Anzahl von Dateien, was ihn für Nutzer, die an diese Art von Downloads gewöhnt sind, sofort verdächtig macht.

Der Torrent startet eine Angriffskette, die Folgendes umfasst:

• Eine bösartige .lnk-Verknüpfung, die als Film-Launcher getarnt ist.
• Versteckte Batch-Befehle, die in Untertiteldateien eingebettet sind.
• Mehrere Ebenen der PowerShell-Ausführung.
• AES-entschlüsselte Payloads, die in Bildarchiven verteilt sind.
• Eine gefälschte Realtek-Audio-Diagnoseaufgabe zur Persistenz
• Eine nur im Speicher ausführbare Agent Tesla-Datei, die keine herkömmlichen Dateien hinterlässt

Interessant daran ist, dass sich die Angreifer auf „Living off the Land“-Techniken stützen – sie verwenden Windows-eigene Tools wie CMD, PowerShell und den Taskplaner sowie Apps, die Benutzer möglicherweise in der Vergangenheit installiert haben.

Die vollständige Malware-Analyse finden Sie in der Untersuchung von Bitdefender Labs.

So bleiben Sie sicher

1. Zunächst einmal sollten Sie keine raubkopierten Inhalte herunterladen. Unter anderem erhöht dies das Risiko, sich über gefälschte Videodateien mit Agent Tesla zu infizieren.
2. Wenn ein Film noch im Kino oder im Premium-Streaming zu sehen ist, handelt es sich bei Torrents, die einen vorzeitigen Zugriff versprechen, sehr wahrscheinlich um eine Falle.
3. Film-Torrents enthalten in der Regel Videodateien, sodass Verknüpfungen, Skripte und gefälschte Archive sofortige Warnsignale sind.
4. Moderne Malware läuft im Arbeitsspeicher und nutzt integrierte Windows-Tools. Verwenden Sie eine fortschrittliche Sicherheitslösung wie Bitdefender Total Security, um sicher zu bleiben.

So schützt Bitdefender Sie

• Die Sicherheitslösungen von Bitdefender blockieren jede Phase dieses Angriffs.
• Die Verhaltenserkennung erkennt bösartige PowerShell-Aktivitäten.
• Der Echtzeit-Schutz vor Bedrohungen stoppt die Ausführung von Skripten, bevor die Payloads entschlüsselt werden.
• Die Netzwerküberwachung blockiert die Kommunikation mit Command-and-Control-Servern.
• Die Ransomware- und Phishing-Prävention bietet mehrschichtigen Schutz.

Unabhängig davon, ob Angreifer Malware in Bildern, Untertiteln, gefälschten Installationsprogrammen oder Archiven verstecken, stoppt Bitdefender die Infektion, lange bevor Agent Tesla ausgeführt werden kann.

Häufig gestellte Fragen – FAQ

Ist das Herunterladen von Filmen aus Torrents sicher?

Nicht wirklich. Angreifer packen mittlerweile regelmäßig Malware in gefälschte Filme und Fernsehsendungen.

Was passiert, wenn Agent Tesla meinen PC infiziert?

Kriminelle verschaffen sich Fernzugriff, stehlen Passwörter, überwachen Aktivitäten und nutzen Ihren PC möglicherweise für zukünftige Angriffe.

Warum verwenden Angreifer Film-Torrent-Dateien?

Weil neue Filme viele Menschen anziehen, insbesondere unerfahrene Nutzer, die möglicherweise nicht wissen, dass Piraterie mit erheblichen Sicherheitsrisiken verbunden ist.