Güvenlik araştırmacıları Bitdefender , Agent Tesla kötü amaçlı yazılımını dağıtmak için yeni bir Leonardo DiCaprio filmi reklamı yapan sahte torrent kullanan bir kötü amaçlı yazılım kampanyası tespit etti. Torrent, One Battle After Another adlı bir film içerdiğini iddia ediyor, ancak bunun yerine Windows sistemlerini tehlikeye atmak için tasarlanmış çok aşamalı bir enfeksiyon zinciri sunuyor. Kampanya, korsan içerik arayan kullanıcıları hedef alıyor ve tespit edilmemek için açıkça kötü niyetli dosyalar yerine teknik karmaşıklığa dayanıyor. Bitdefender analistleri, bu yaklaşımın geleneksel güvenlik kontrollerinden kasıtlı olarak kaçınma çabasını gösterdiğini söyledi.
Saldırı, bir kullanıcının torrenti indirip filme kısayol gibi görünen bir yolu açmasıyla başlar. Video içeriğini başlatmak yerine, kısayol gizli bir komut dizisini etkinleştiriyor. Bitdefender’a göre, bu dizis altyazılara veya zararsız medya bileşenlerine benzeyen dosyalara gömülü. Tetiklendikten sonra, komutlar komut dizisi ve PowerShell gibi yerleşik Windows araçları aracılığıyla yürütülen bir dizik zinciri başlatır. Her aşama, kullanıcı için görünür uyarı işaretleri üretmeden ortamı bir sonraki aşamaya hazırlar.
Bitdefender araştırmacıları, scriptlerin torrentte bulunan resim dosyaları ve sıkıştırılmış arşivler içinde gizlenmiş ek verileri çıkardığını bildirdi. Bu dosyalar meşru görünecek şekilde tasarlanmıştır ve gündelik inceleme sırasında şüphe uyandırması pek olası değildir. Çıkarılan bileşenler, geleneksel çalıştırılabilir dosyalar olarak kaydedilmez yerine doğrudan sistem belleğinde çözülür ve çalıştırılır. Bu dosyasız teknik, depolanmış dosyaları taramaya odaklanan güvenlik ürünleri tarafından tespit edilme olasılığını azaltır.
Kalıcılığı sağlamak için kötü amaçlı yazılım, rutin görünen bir isimle planlanmış bir görev oluşturur. Bu, sistem yeniden başlatıldığında da kötü amaçlı sürecin çalışmaya devam etmesini sağlar. Bu yöntemle konuşlandırılan son yük, uzun yıllardır aktif olan bir uzaktan erişim trojan olan Agent Tesla’dır. Bitdefender, Agent Tesla’nın tarayıcılardan, e-posta istemcilerinden ve diğer uygulamalardan kimlik bilgilerini çalabildiğini ve finansal faaliyetlerle ilgili bilgileri toplayabildiğini belirtti. Kötü amaçlı yazılım ayrıca uzaktan erişim sağlar ve saldırganların enfekte sistemleri izlemesini veya kontrol etmesini sağlar.
Kampanya, yüksek profilli eğlence filmlerinin etkili bir yem olarak nasıl kullanıldığını gösteriyor. Bitdefender, binlerce kullanıcının torrenti kötü niyetli olarak tanımlanmadan önce indirdiğini belirtti. Yeni çıkan filmler büyük ilgi uyandırıyor ve saldırganların zararlı yazılımı eşler arası ağlar üzerinden hızla dağıtması için fırsatlar yaratıyor. Cazibe, aciliyet ve merakla bağlı; saldırganlar, kullanıcıların popüler içeriklere ücretsiz erişmeye çalışırken daha az temkinli olacağını varsayıyor.
Bitdefender analistleri, enfeksiyon zincirinin katmanlı tasarımının birçok yaygın kötü amaçlı yazılım kampanyasından daha yüksek bir sofistike seviyesini yansıttığını söyledi. Kısayol dosyaları, betikler, şifrelenmiş veriler ve bellek tabanlı yürütme kombinasyonu, saldırının normal sistem davranışına karışmasını sağlar. Meşru işletim sistemi araçlarının kullanımı, tespit ve analizi daha da karmaşıklaştırır.
Bitdefender, kullanıcılara korsan filmler veya yazılımlar doğrulanmamış kaynaklardan indirmemelerini tavsiye etti. Kestirmeler, betikler veya beklenmedik arşiv yapıları içeren dosyalar potansiyel tehdit olarak ele alınmalıdır. Güvenlik yazılımlarını güncel tutmak ve indirilmiş içerikleri açarken dikkatli olmak, enfeksiyon riskini azaltabilir. Bulgular, yerleşik kötü amaçlı yazılım ailelerinin, popüler medya talebi ve kullanıcı davranışlarındaki zayıflıkları yeni teknik açılara güvenmek yerine sömürerek nasıl gelişmeye devam ettiğini ortaya koyuyor.