Pesquisadores de segurança identificaram Bitdefender uma campanha de malware que utiliza um torrent falso anunciando um novo filme de Leonardo DiCaprio para distribuir o malware Agente Tesla. O torrent afirma conter um filme intitulado One Battle After Another, mas em vez disso apresenta uma cadeia de infecção em múltiplos estágios projetada para comprometer sistemas Windows. A campanha tem como alvo usuários que buscam conteúdo pirata e depende da complexidade técnica em vez de arquivos obviamente maliciosos para evitar a detecção. Analistas da Bitdefender disseram que a abordagem demonstra um esforço deliberado para contornar os controles tradicionais de segurança.
O ataque começa quando um usuário baixa o torrent e abre o que parece ser um atalho para o filme. Em vez de lançar conteúdo de vídeo, o atalho ativa uma sequência de comandos oculta. Segundo o Bitdefender, essa sequência está embutida em arquivos que se assemelham a legendas ou outros componentes de mídia inofensivos. Uma vez acionados, os comandos iniciam uma cadeia de scripts executados por ferramentas embutidas do Windows, como o prompt de comando e o PowerShell. Cada estágio prepara o ambiente para o próximo sem produzir sinais visíveis de alerta para o usuário.
Pesquisadores do Bitdefender relataram que os scripts extraem dados adicionais ocultos dentro de arquivos de imagem e arquivos comprimidos incluídos no torrent. Esses arquivos são feitos para parecerem legítimos e dificilmente levantarão suspeitas durante uma inspeção casual. Os componentes extraídos são descriptografados e executados diretamente na memória do sistema, em vez de serem salvos como arquivos executáveis tradicionais. Essa técnica sem arquivos reduz a chance de detecção por produtos de segurança que focam na digitalização de arquivos armazenados.
Para garantir persistência, o malware cria uma tarefa agendada com um nome que parece rotineiro. Isso permite que o processo malicioso continue rodando após uma reinicialização do sistema. A carga útil final implantada por esse método é o Agente Tesla, um trojan de acesso remoto que está ativo há muitos anos. Bitdefender afirmou que o Agente Tesla é capaz de roubar credenciais de navegadores, clientes de e-mail e outros aplicativos, além de coletar informações relacionadas à atividade financeira. O malware também permite acesso remoto, permitindo que atacantes monitorem ou controlem sistemas infectados.
A campanha demonstra como lançamentos de entretenimento de alto perfil são usados como iscas eficazes. O Bitdefender observou que milhares de usuários baixaram o torrent antes de ser identificado como malicioso. Filmes recém-lançados geram grande interesse, criando oportunidades para que atacantes distribuam malware rapidamente por meio de redes peer-to-peer. A isca depende da urgência e curiosidade, com os atacantes assumindo que os usuários serão menos cautelosos ao tentar acessar conteúdos populares gratuitamente.
Analistas da Bitdefender disseram que o design em camadas da cadeia de infecção reflete um nível de sofisticação maior do que muitas campanhas comuns de malware. A combinação de arquivos de atalho, scripts, dados criptografados e execução baseada em memória permite que o ataque se misture ao comportamento normal do sistema. O uso de utilitários legítimos do sistema operacional complica ainda mais a detecção e análise.
O Bitdefender orientou os usuários a evitarem baixar filmes ou softwares pirateados de fontes não verificadas. Arquivos que contenham atalhos, scripts ou estruturas de arquivo inesperadas devem ser tratados como ameaças potenciais. Manter o software de segurança atualizado e agir com cautela ao abrir o conteúdo baixado pode reduzir o risco de infecção. Os resultados destacam como famílias de malware já estabelecidas continuam a evoluir ao explorar a demanda por mídia popular e fraquezas no comportamento dos usuários, em vez de depender de novos exploits técnicos.