Torrent zu Leonardo-DiCaprio-Film verbreitet Malware über Untertitel
Der Film "One Battle After Another" dient derzeit als Köder für eine gefährliche Attacke. Sicherheitsforscher warnen vor manipulierten Untertitel-Dateien, die den Trojaner Agent Tesla unbemerkt installieren. Wer den Blockbuster illegal lädt, geht also ein Risiko ein.
Das Besondere an diesem Angriff ist nicht der Köder selbst (Torrents werden gerne auf diese Weise missbraucht), sondern die technisch anspruchsvolle Infektionskette, die nahezu unsichtbar für herkömmliche Virenscanner abläuft. Im Zuge des Abspielens einer Videodatei starten Nutzer nämlich unwissentlich eine komplexe Befehlskette, die tief im System verankert wird.
Der Angriff beginnt unmittelbar, nachdem der Nutzer das vermeintliche Film-Paket heruntergeladen hat. In dem Ordner befinden sich verschiedene Dateien, darunter eine Verknüpfung mit dem Namen "CD.lnk" sowie eine Untertiteldatei namens "Part2.subtitles.srt". Klickt der Anwender auf die Verknüpfung in der Hoffnung, den Film zu starten, wird stattdessen im Hintergrund ein PowerShell-Befehl ausgeführt. Das Skript liest spezifische Zeilen aus der harmlos wirkenden Untertiteldatei aus. In diesen Zeilen versteckt sich jedoch kein Text für den Film, sondern bösartiger Code, der den weiteren Infektionsprozess anstößt. Da Textdateien von Sicherheitssoftware oft als unbedenklich eingestuft werden, umgehen die Angreifer so erste Sicherheitsbarrieren.
Im weiteren Verlauf entpackt das Skript Daten aus weiteren mitgelieferten Dateien, die als harmlose Medien getarnt sind. Eine Datei namens "One Battle After Another.m2ts" ist in Wahrheit ein komprimiertes Archiv, und ein Bild namens "Photo.jpg" enthält binären Code, der mittels Base64 kodiert wurde. Die Malware setzt sich anschließend im Arbeitsspeicher fest und richtet eine geplante Aufgabe unter dem unauffälligen Namen "RealtekDiagnostics" ein. Das sorgt dafür, dass der Schädling auch nach einem Neustart des Rechners sofort wieder aktiv wird, ohne dass der Nutzer etwas davon bemerkt.
Die Folgen einer Infektion mit Agent Tesla sind für Betroffene gravierend:
Das Vorgehen zeigt eine zunehmende Professionalisierung im Bereich der Cyberkriminalität, die auf Filesharing-Nutzer abzielt. Bereits beim Film "Mission: Impossible - The Final Reckoning" wurde eine ähnliche Taktik beobachtet, um die Schadsoftware Lumma Stealer zu verteilen. Das Perfide an der aktuellen Kampagne ist die Nutzung der Untertitel-Datei als Vektor, da Nutzer beim Herunterladen von Zusatzdateien für fremdsprachige Filme oft weniger misstrauisch sind.
Habt ihr in eurem Umfeld schon von ähnlichen Malware-Tricks gehört, die harmlose Dateien wie Untertitel nutzen? Teilt eure Erfahrungen gerne mit uns in den Kommentaren.
Siehe auch:
Infektion via manipulierte Untertitel
Wer sich aktuell auf illegalen Wegen den neuen Leonardo-DiCaprio-Film One Battle After Another beschaffen möchte, riskiert weit mehr als nur eine Abmahnung. Sicherheitsforscher von Bitdefender haben eine groß angelegte Kampagne aufgedeckt, bei der Cyberkriminelle die Popularität des Hollywood-Blockbusters nutzen, um den Remote Access Trojaner (RAT) "Agent Tesla" zu verbreiten.Das Besondere an diesem Angriff ist nicht der Köder selbst (Torrents werden gerne auf diese Weise missbraucht), sondern die technisch anspruchsvolle Infektionskette, die nahezu unsichtbar für herkömmliche Virenscanner abläuft. Im Zuge des Abspielens einer Videodatei starten Nutzer nämlich unwissentlich eine komplexe Befehlskette, die tief im System verankert wird.
Der Angriff beginnt unmittelbar, nachdem der Nutzer das vermeintliche Film-Paket heruntergeladen hat. In dem Ordner befinden sich verschiedene Dateien, darunter eine Verknüpfung mit dem Namen "CD.lnk" sowie eine Untertiteldatei namens "Part2.subtitles.srt". Klickt der Anwender auf die Verknüpfung in der Hoffnung, den Film zu starten, wird stattdessen im Hintergrund ein PowerShell-Befehl ausgeführt. Das Skript liest spezifische Zeilen aus der harmlos wirkenden Untertiteldatei aus. In diesen Zeilen versteckt sich jedoch kein Text für den Film, sondern bösartiger Code, der den weiteren Infektionsprozess anstößt. Da Textdateien von Sicherheitssoftware oft als unbedenklich eingestuft werden, umgehen die Angreifer so erste Sicherheitsbarrieren.
Tarnung durch interne Windows-Tools
Die Angreifer setzen bei dieser Methode stark auf sogenannte "Living-off-the-Land" (LOTL) Techniken. Dabei werden keine externen Schadprogramme heruntergeladen, die ein Virenscanner sofort erkennen würde. Stattdessen missbraucht die Malware legitime, bereits in Windows vorhandene Werkzeuge wie die PowerShell, die Eingabeaufforderung (CMD) und die Aufgabenplanung. Wie Bleeping Computer berichtet, ist dieser Ansatz besonders schwer zu entdecken, da die Aktivitäten für das System wie normale administrative Vorgänge aussehen. Das macht die Forensik und die automatisierte Abwehr ungleich schwieriger als bei herkömmlichen Exe-Dateien.Im weiteren Verlauf entpackt das Skript Daten aus weiteren mitgelieferten Dateien, die als harmlose Medien getarnt sind. Eine Datei namens "One Battle After Another.m2ts" ist in Wahrheit ein komprimiertes Archiv, und ein Bild namens "Photo.jpg" enthält binären Code, der mittels Base64 kodiert wurde. Die Malware setzt sich anschließend im Arbeitsspeicher fest und richtet eine geplante Aufgabe unter dem unauffälligen Namen "RealtekDiagnostics" ein. Das sorgt dafür, dass der Schädling auch nach einem Neustart des Rechners sofort wieder aktiv wird, ohne dass der Nutzer etwas davon bemerkt.
Ein alter Bekannter
Bei der eingeschleusten Schadsoftware handelt es sich um "Agent Tesla", einen alten Bekannten in der Welt der Cybersicherheit. Die Malware, die bereits seit 2014 im Umlauf ist, basiert auf dem .NET-Framework und wird in Untergrundforen als "Malware-as-a-Service" (MaaS) verkauft. Das bedeutet, dass selbst technisch weniger versierte Kriminelle Lizenzen für die Software erwerben können, um eigene Angriffe zu starten. Agent Tesla hat sich über die Jahre von einem einfachen Keylogger zu einem mächtigen Spionage-Werkzeug entwickelt, das ständig aktualisiert wird.Die Folgen einer Infektion mit Agent Tesla sind für Betroffene gravierend:
- Vollständige Fernsteuerung: Angreifer können den PC komplett übernehmen und Befehle ausführen.
- Datenabfluss: Der Trojaner stiehlt Zugangsdaten aus Webbrowsern, VPN-Clients und E-Mail-Programmen.
- Überwachung: Die Malware kann Tastatureingaben aufzeichnen (Keylogging), Screenshots erstellen und die Zwischenablage auslesen.
Das Vorgehen zeigt eine zunehmende Professionalisierung im Bereich der Cyberkriminalität, die auf Filesharing-Nutzer abzielt. Bereits beim Film "Mission: Impossible - The Final Reckoning" wurde eine ähnliche Taktik beobachtet, um die Schadsoftware Lumma Stealer zu verteilen. Das Perfide an der aktuellen Kampagne ist die Nutzung der Untertitel-Datei als Vektor, da Nutzer beim Herunterladen von Zusatzdateien für fremdsprachige Filme oft weniger misstrauisch sind.
Habt ihr in eurem Umfeld schon von ähnlichen Malware-Tricks gehört, die harmlose Dateien wie Untertitel nutzen? Teilt eure Erfahrungen gerne mit uns in den Kommentaren.
Zusammenfassung
- Trojaner 'Agent Tesla' verbreitet sich über manipulierte Untertitel
- Komplex verschleierte Malware nutzt Leonardo-DiCaprio-Film als Köder
- Infektionskette startet durch Klick auf eine harmlos aussehende Verknüpfung
- Schadsoftware missbraucht legitime Windows-Funktionen zur Tarnung
- Einmal installiert kann der Trojaner den PC übernehmen und Daten stehlen
- Ähnliche Taktiken wurden bereits bei anderen Blockbustern beobachtet
- Besonders tückisch ist die Nutzung unverdächtiger Untertitel-Dateien
Siehe auch:
- Microsoft bekommt Malware in VSCode-Erweiterungen nicht in den Griff
- Neue Android-Malware klaut Inhalte aus Signal, WhatsApp und Telegram
- Flyoobe: Entwickler des Windows-11-Trimmers warnt vor Malware
- Kriminelle tricksen ihre Malware über Google-Werbung zu den Opfern
- Offizielle Xubuntu-Website kompromittiert: Krypto-Malware statt Ubuntu
Themen:
BitTorrent-Clients als Download
Videos zum Thema BitTorrent
Beiträge aus dem Forum
Beliebt im Preisvergleich
- NAS-Systeme:
Weiterführende Links
Neue Nachrichten
- Windows 11 bekommt einen Button zum Entfernen aller KI-Modelle
- Meta macht (ein bisschen) Rückzieher bei Mitarbeiter-Totalüberwachung
- Update für Google Home: Gemini-KI startet nun auch in Deutschland
- Vernichtende Kritik: MMO-Hoffnung Camelot Unchained ein totaler Flop
- Komplett zerstörte Startrampe: Blue Origin hat aggressiven Aufbauplan
- Microsoft Surface Pro 13-Zoll: Das ist das Tablet mit Snapdragon X2 Elite
- Google will Android-Entwickler für Zugang zum App-Code bezahlen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen