Рига: -4.6°С
Новая киберугроза: Маскировка вредоносного ПО в популярном киноконтенте
Эксперты в области кибербезопасности из компании Bitdefender зафиксировали изощренную схему распространения вредоносного программного обеспечения, использующую ажиотаж вокруг нового фильма. Злоумышленники создали поддельный торрент-файл, замаскированный под киноленту «Битва за битвой», который содержит троян, нацеленный на компрометацию персональных компьютеров пользователей.
Эта атака выделяется своей хитростью: вредоносный код внедрен не в основной видеофайл, а в сопутствующий ему файл субтитров. Хотя пакет, по данным Bitdefender, успел собрать несколько тысяч загрузок, остается не до конца ясным, насколько широко успело распространиться вредоносное ПО.
Официальный цифровой релиз фильма «Битва за битвой» состоялся 19 декабря на платформе HBO Max, что сделало его привлекательной целью для пиратских ресурсов и, как следствие, для киберпреступников, рассчитывающих на широкую аудиторию.
Механизм заражения: Ярлык и обфускация кода в субтитрах
Архив, предлагаемый для скачивания, содержит три основных элемента: файл, имитирующий видеоформат M2TS, файл субтитров и исполняемый ярлык с названием «CD.link».
Ключевой момент в цепочке заражения — это клик по этому ярлыку, который неопытные пользователи могут ошибочно принять за команду для запуска фильма. В отличие от опытных пользователей, знающих, что нужно запускать только видеофайл, новички могут легко активировать вредоносную программу.
При этом файл субтитров, который внешне выглядит вполне легитимно и может содержать реальные строки текста, таит в себе скрытый вредоносный код.
Использование «Живых» Инструментов Windows (LOTL)
Одной из самых сложных для обнаружения особенностей этой атаки является использование тактики Living off the land (LOTL), при которой для выполнения своих задач вредоносное ПО задействует легитимные системные инструменты Windows.
В частности, для распаковки зашифрованных данных используются встроенные утилиты, такие как командная строка (CMD), PowerShell и Планировщик задач (Task Scheduler).
Такой подход значительно затрудняет работу традиционных антивирусных программ, поскольку они не видят явного запуска неизвестного исполняемого файла, а лишь обычные системные процессы.
После успешного запуска вредоносное ПО получает полный контроль над скомпрометированным устройством. Это открывает для хакеров вектор для дальнейших кибератак, включая потенциальный перехват конфиденциальной информации или использование зараженного ПК в ботнетах.
Троян Agent Tesla: Известная угроза в новой обертке
По данным специалистов, вредоносная программа, распространяемая через этот торрент, идентифицирована как уже известный троян — Agent Tesla.
Agent Tesla является инфостилером, который давно используется киберпреступниками, часто через фишинговые рассылки. Его основная цель — кража учетных данных, включая пароли, файлы cookie и другую финансово значимую информацию.
Хотя сам вирус не нов, его внедрение именно в файл субтитров для нашумевшего фильма, по мнению экспертов, является изощренным методом доставки.
Контекст: Пиратский контент как вектор атак
Распространение вредоносного ПО через торренты с популярными фильмами не является уникальным явлением. Ранее, например, в мае, злоумышленники использовали файлы с фильмом «Миссия невыполнима: Финальная расплата» для распространения инфостилера Lumma Stealer.
Выбор фильма «Битва за битвой» для этой конкретной атаки кажется мотивированным его высоким уровнем освещения в медиапространстве, несмотря на то, что он не стал кассовым хитом. Картина, снятая, согласно некоторым данным, Полом Томасом Андерсоном и с участием Леонардо ДиКаприо и Шона Пенна, номинирована на девять «Золотых глобусов» и фигурирует в шорт-листах «Оскара».
В то время как официальные релизы становятся доступны на стриминговых сервисах, пользователи, ищущие бесплатный доступ к премьерам, подвергают себя повышенному риску. Специалисты настоятельно рекомендуют использовать только официальные и проверенные источники контента, особенно в период повышенного интереса к киноновинкам.
Следите за новостями на других платформах: