Vírus a feliratok között
A torrentben a One Battle After Another.m2ts filmfájl mellett több ártalmatlannak tűnő kép (Photo.jpg, Cover.jpg), egy feliratfájl (Part2.subtitles.srt) és egy gyorsindító parancsikon (CD.lnk) is megtalálható. Ha valaki elindítja a CD.lnk-t, a Windows parancsokat futtat, amelyek a feliratfájl sorai közé rejtett, titkosított PowerShell-kóddal indítanak kártevő-támadást. Maga a feliratfájl több AES-titkosított adattömböt is tartalmaz, ezekből áll össze további öt rosszindulatú PowerShell-szkript, amelyek a felhasználó gépén a Microsoft Diagnostics mappába kerülnek.
Fokozatos támadási lépések
A támadás szakaszosan zajlik: először a filmfájlt archívumként kicsomagolják, majd egy elrejtett ütemezett feladat indul, amely egy batch fájlt futtat. Következő lépésben képfájlokból (Photo.jpg, Cover.jpg) helyreállított bináris adatok kerülnek a Windows Sound Diagnostics gyorsítótárába. Itt batch és PowerShell fájlokat is elhelyeznek, amelyek ellenőrzik, hogy a Windows Defender fut-e (és, ha igen, megpróbálják kikerülni), telepítik a Go környezetet, majd a végső támadóprogramot, az Agent Tesla nevű kémvírust töltik be a memóriába.
Jelszólopás és kémkedés
Az Agent Tesla régóta ismert windowsos kártevő, amely böngésző-, e-mail-, FTP- és VPN-adatokat lop, képernyőképeket készít. Bár nem számít újdonságnak, elterjedtsége nem csökken, mert könnyű bevetni és rendkívül megbízható. A Bitdefender más filmcímeknél (például Lehetetlen küldetés – Az utolsó leszámolás (Mission: Impossible – The Final Reckoning)) is talált hasonló támadásokat, ott más víruscsaládokat is bevetnek a bűnözők. Éppen ezért érdemes óvatosnak lenni: a névtelen torrentezők filmjeiben gyakran rejtőzik kártevő, az új produkciók illegális beszerzése pedig komoly veszélyekkel jár.
