I ricercatori di sicurezza hanno Bitdefender identificato una campagna malware che utilizza un falso torrent che pubblicizza un nuovo film di Leonardo DiCaprio per distribuire il malware Agent Tesla. Il torrent sostiene di contenere un film intitolato One Battle After Another, ma invece offre una catena di infezioni a più stadi progettata per compromettere i sistemi Windows. La campagna mira agli utenti che cercano contenuti piratati e si basa sulla complessità tecnica piuttosto che su file palesemente dannosi per evitare il rilevamento. Gli analisti di Bitdefender hanno affermato che l’approccio dimostra uno sforzo deliberato per eludere i controlli di sicurezza tradizionali.
L’attacco inizia quando un utente scarica il torrent e apre quella che sembra essere una scorciatoia per il film. Invece di avviare contenuti video, la scorciatoia attiva una sequenza di comandi nascosta. Secondo Bitdefender, questa sequenza è incorporata all’interno di file che ricordano sottotitoli o altri componenti multimediali innocui. Una volta attivati, i comandi avviano una catena di script eseguiti tramite strumenti integrati di Windows come il prompt dei comandi e PowerShell. Ogni fase prepara l’ambiente per la successiva senza produrre segnali di avvertimento visibili per l’utente.
I ricercatori di Bitdefender hanno riferito che gli script estraggono dati aggiuntivi nascosti all’interno di file immagine e archivi compressi inclusi nel torrent. Questi fascicoli sono progettati per apparire legittimi e difficilmente susciteranno sospetti durante un’ispezione casuale. I componenti estratti vengono decriptati ed eseguiti direttamente nella memoria di sistema invece di essere salvati come file eseguibili tradizionali. Questa tecnica fileless riduce la possibilità di rilevamento da parte di prodotti di sicurezza che si concentrano sulla scansione dei file memorizzati.
Per garantire la persistenza, il malware crea un compito programmato con un nome che appare di routine. Questo permette al processo malevolo di continuare a funzionare dopo un riavvio del sistema. L’ultimo carico utile rilasciato tramite questo metodo è Agent Tesla, un trojan di accesso remoto attivo da molti anni. Bitdefender ha dichiarato che l’agente Tesla è in grado di rubare credenziali da browser, client email e altre applicazioni, oltre a raccogliere informazioni relative all’attività finanziaria. Il malware consente anche l’accesso remoto, consentendo agli attaccanti di monitorare o controllare i sistemi infetti.
La campagna dimostra come le uscite di intrattenimento di alto profilo vengano usate come esche efficaci. Bitdefender ha osservato che migliaia di utenti hanno scaricato il torrent prima che venisse identificato come malizioso. I film appena usciti suscitano un forte interesse, creando opportunità per gli attaccanti di diffondere rapidamente malware attraverso reti peer-to-peer. L’esca dipende dall’urgenza e dalla curiosità, con gli attaccanti che presumono che gli utenti saranno meno cauti nel tentativo di accedere gratuitamente a contenuti popolari.
Gli analisti di Bitdefender hanno affermato che il design stratificato della catena di infezione riflette un livello di sofisticazione superiore rispetto a molte campagne malware comuni. La combinazione di file scorciatoie, script, dati criptati ed esecuzione basata sulla memoria permette all’attacco di fondersi nel normale comportamento del sistema. L’uso di utility legittime del sistema operativo complica ulteriormente il rilevamento e l’analisi.
Bitdefender consigliava agli utenti di evitare di scaricare film o software piratati da fonti non verificate. I file che contengono scorciatoie, script o strutture di archivio impreviste dovrebbero essere trattati come potenziali minacce. Mantenere aggiornati i software di sicurezza ed esercitare cautela nell’apertura dei contenuti scaricati può ridurre il rischio di infezione. I risultati evidenziano come le famiglie di malware consolidate continuino a evolversi sfruttando la domanda di media popolari e le debolezze nel comportamento degli utenti, invece di affidarsi a nuovi exploit tecnici.