Des cybercriminels utilisent un faux film de Leonardo DiCaprio pour diffuser un malware

Les chercheurs en cybersécurité de Bitdefender ont découvert qu'un faux fichier torrent du nouveau film de Leonardo DiCaprio, One Battle After Another, cache une série complexe de scripts conçus pour infecter les utilisateurs Windows avec un puissant cheval de Troie nommé Agent Tesla.

Lorsque les gens téléchargent des films, ils s'attendent à obtenir un fichier vidéo. Au lieu de cela, le torrent contient un ensemble caché de scripts PowerShell qui décompressent, décodent et exécutent une charge utile malveillante résidant en mémoire.

Les criminels utilisent des films populaires car le nombre de personnes qui les recherchent alors qu'ils sont encore à l'affiche est plus élevé. Des milliers de personnes ont téléchargé ce torrent, ce qui montre que la demande de films piratés alimente de dangereuses campagnes de logiciels malveillants.

Téléchargez un film, soyez infecté

Le faux film avec DiCaprio ne contient aucun fichier vidéo. Il contient en réalité une attaque mise en scène conçue pour déployer Agent Tesla, un cheval de Troie d'accès à distance qui peut être utilisé pour voler des mots de passe, des données financières et des informations de navigation, tout en donnant aux criminels le contrôle total du PC infecté.

L'attaque est conçue pour piéger les personnes qui ne piratent généralement pas de médias, ce qui est évident si l'on regarde ce que les utilisateurs doivent faire pour être infectés. Le torrent contient également un grand nombre de fichiers, ce qui le rendra immédiatement suspect pour les utilisateurs habitués à ce type de téléchargement.

Le torrent lance une chaîne d'attaques qui comprend :

• Un raccourci .lnk malveillant déguisé en lanceur de film.
• Des commandes batch cachées intégrées dans des fichiers de sous-titres.
• Plusieurs couches d'exécution PowerShell.
• Des charges utiles décryptées AES distribuées dans des archives d'images.
• Une fausse tâche de diagnostic audio Realtek pour la persistance
• Un exécutable Agent Tesla uniquement en mémoire qui ne laisse aucun fichier traditionnel derrière lui

Ce qui rend cela intéressant, c'est que les attaquants s'appuient sur des techniques « Living off the Land » : ils utilisent les propres outils de Windows tels que CMD, PowerShell et le Planificateur de tâches, ainsi que des applications que les utilisateurs ont pu installer par le passé.

Vous pouvez consulter l'analyse complète du logiciel malveillant dans l'enquête des laboratoires Bitdefender.

Comment rester en sécurité

1. Tout d'abord, il ne faut pas télécharger de contenu piraté. Entre autres problèmes, cela augmente le risque d'être infecté par Agent Tesla à partir de faux fichiers vidéo.
2. Si un film est encore à l'affiche dans les salles ou en streaming premium, tout torrent prétendant offrir un accès anticipé est très probablement un piège.
3. Les torrents de films contiennent généralement des fichiers vidéo, donc les raccourcis, les scripts et les fausses archives sont des signaux d'alarme immédiats.
4. Les logiciels malveillants modernes s'exécutent en mémoire et utilisent les outils Windows intégrés. Utilisez une solution de sécurité avancée telle que Bitdefender Total Security pour rester en sécurité.

Comment Bitdefender vous protège

• Les solutions de sécurité Bitdefender bloquent chaque étape de cette attaque.
• La détection comportementale reconnaît les activités malveillantes de PowerShell.
• La protection en temps réel contre les menaces empêche l'exécution des scripts avant le déchiffrement des charges utiles.
• La surveillance du réseau bloque la communication avec les serveurs de commande et de contrôle.
• La prévention contre les ransomwares et le phishing offre une défense multicouche.

Que les attaquants cachent des logiciels malveillants dans des images, des sous-titres, de faux programmes d'installation ou des archives, Bitdefender bloque l'infection bien avant qu'Agent Tesla ne puisse s'exécuter.

Foire aux questions - FAQ

Le téléchargement de films à partir de torrents est-il sûr ?

Pas vraiment. Les pirates intègrent désormais régulièrement des logiciels malveillants dans de faux films et séries télévisées.

Que se passe-t-il si Agent Tesla infecte mon PC ?

Les criminels obtiennent un accès à distance, volent vos mots de passe, surveillent votre activité et peuvent utiliser votre PC pour de futures attaques.

Pourquoi les pirates utilisent-ils des torrents de films ?

Parce que les nouveaux films attirent beaucoup de monde, en particulier les utilisateurs inexpérimentés qui ne savent peut-être pas que le piratage comporte des risques majeurs pour la sécurité.