Katarzyna Petru
Cyberkriminelle haben eine neue Methode gefunden, um Windows-Computer zu infizieren. Eine gefälschte Kopie des Films One Battle After Another mit Leonardo DiCaprio, die in Torrent-Netzwerken verbreitet wird, enthält Malware, die in… einer Untertiteldatei versteckt ist. Experten warnen, dass dies erst der Anfang einer neuen Welle von Angriffen ist. Die Bedrohung wurde von der Firma BitDefender entdeckt, die auf die immer raffinierteren Methoden der Malware-Verbreitung hinweist, die das Vertrauen der Nutzer in beliebte Filmtitel ausnutzen. Nach der Installation der Malware erhalten die Angreifer vollen, entfernten Zugang zum Computer des Opfers.
„Dieser Typ von Malware wurde mit einem Ziel entwickelt – den Cyberkriminellen unbegrenzten Zugang zum Windows-System zu ermöglichen. Nach der Kontrolle können sie finanzielle und persönliche Daten stehlen oder den Computer für weitere Angriffe nutzen“ – warnt BitDefender.
Malware versteckt in Untertiteln
Im Angriff selbst gibt es nichts Neues – es wurde die bekannte Schadsoftware Agent Tesla verwendet. Neu ist jedoch die Art der Verbreitung. Malware wird über Torrents verbreitet, die eine gefälschte Version des Films One Battle After Another enthalten – und laut BitDefender möglicherweise auch andere beliebte Titel. Was wichtig ist, viele Benutzer bemerken nicht, dass der Film selbst überhaupt nicht startet, da die Infektion vorher erfolgt.
BitDefender schätzt, dass bereits mehrere tausend Personen auf diesen Trick hereingefallen sind. Im Torrent-Paket befindet sich eine Verknüpfungsdatei mit dem Namen CD.lnk, die vorschlägt, den Film zu starten. In Wirklichkeit initiiert das Öffnen dieser Datei eine Kette von Skripten, die legale Windows-Prozesse nutzen.
Ein entscheidendes Element des Angriffs ist in der Untertiteldatei versteckt – genau in Zeile 5005. Dort befindet sich ein PowerShell-Befehl, der die Installation der Malware einleitet. Der restliche Teil der Untertiteldatei sieht völlig normal aus, was die Erkennung der Bedrohung erheblich erschwert. Eine detaillierte Beschreibung des gesamten Mechanismus hat BitDefender in seinem Blog veröffentlicht.
Das ist erst der Anfang
Es ist nicht der erste Fall, in dem gefälschte Torrents verwendet werden, um Computer zu infizieren.
„Früher wurde der Film Mission: Impossible – The Final Reckoning verwendet, um die Malware Lumma Stealer zu verbreiten, die Passwörter, Cookies, Daten von Kryptowährungs-Wallets sowie Anmeldeinformationen für Remote-Desktop-Tools stiehlt” – erinnert BitDefender.
Experten sind sich sicher, dass sich die Situation verschlechtern wird.
„In den letzten Jahren ist die Zahl der infizierten Torrents, die die neuesten Filme und Serien versprechen, stark angestiegen. Angreifer haben eindeutig einen effektiven Angriffsvektor entdeckt, und Agent Tesla wird zu einem ihrer Lieblingswerkzeuge” – fasst das Unternehmen zusammen.
