Stručnjaci upozoravaju da se iza lažnog torenta za novi film Leonarda Dikaprija krije sofisticiran malver koji neprimetno preuzima kontrolu nad Windows računarima.

Na prvi pogled, sve izgleda kao klasičan piratski film. Ipak, Bitdefender je zabeležio nagli porast detekcija povezanih sa ovim torentom, što je dovelo do otkrivanja izuzetno kompleksnog mehanizma infekcije. Napad je pažljivo osmišljen da se prikrije korišćenjem legitimnih Windows komponenti, kroz tehniku poznatu kao "Living Off the Land" (LOTL).

Ovakav pristup omogućava napadačima da se uklope u normalne procese sistema i da lakše izbegnu bezbednosne alate. Upravo zato, infekcija može dugo da ostane neprimećena, dok se zlonamerni kod tiho izvršava u pozadini.

Slične taktike već su viđene ranije. Bitdefender podseća na slučaj lažnog torenta za film "Mission: Impossible - The Final Reckoning", koji je u prošlosti korišćen za širenje Lumma Stealer malvera.

Prema rečima istraživača, ova kampanja je posebno usmerena na manje iskusne korisnike - ljudi koji nisu svesni rizika preuzimanja torenta ili oni koji retko skidaju piratski sadržaj i generalno ne preuzimaju fajlove na ovaj način.

Napad počinje u trenutku kada korisnik preuzme torent i klikne na fajl CD.lnk, verujući da pokreće film. Umesto toga, aktivira se skriveni lanac komandi koji otvara vrata daljoj infekciji sistema.

U sledećem koraku učitava se fajl sa titlovima pod nazivom Part2.subtitles.srt. Iako titlovi deluju potpuno legitimno, u njima se nalazi nekoliko linija koda koje pokreću čitav niz PowerShell skripti bez znanja korisnika.

Te skripte zatim izvlače i pokreću dodatne maliciozne komponente. One su vešto skrivene unutar drugih fajlova kao što su video fajl One Battle After Another.m2ts i lažni fajl Cover.jpg.

Ceo proces infekcije je višeslojan i izvršava se isključivo u radnoj memoriji (RAM). Upravo to značajno otežava detekciju, jer antivirusni alati nemaju klasične fajlove na disku koje bi mogli da analiziraju.

Na samom kraju ovog lanca aktivira se Agent Tesla. U pitanju je poznati trojanac sa daljinskim pristupom, koji je aktivan još od 2014. godine i često se koristi u sofisticiranim sajber napadima.

Kada se Agent Tesla instalira, napadač dobija punu kontrolu nad zaraženim računarom. To uključuje krađu lozinki, ličnih i finansijskih podataka, kao i mogućnost da se uređaj kasnije koristi kao “zombi agent” u budućim napadima.

Agent Tesla je već viđen u brojnim kampanjama širom sveta. U prošlosti je korišćen i u fišing imejlovima sa temom COVID-19, što dodatno potvrđuje njegovu dugovečnost i prilagodljivost.

Bitdefender navodi da je lažni torent imao "hiljade seedera i leechera". Ovaj podatak ukazuje na potencijalno ogroman broj kompromitovanih sistema i brzinu kojom se napad širi.

Ovaj slučaj još jednom jasno pokazuje koliko se lako ozbiljni malveri mogu sakriti u "besplatnom" sadržaju na internetu. Jedan pogrešan klik može biti dovoljan da ceo sistem padne u ruke napadača.

Izvor:B92

Postanite deo SMARTLIFE zajednice na Viberu.