„One Battle After Another“-Torrent versteckt Malware in Untertitel‑Dateien

Am Von In Up2Date

This content is protected against AI scraping.

Weihnachten wird viel gestreamt. Doch: Vorsicht bei illegalen Quellen! Gerade frisch auf dem Markt: ein gefälschter Torrent des Leonardo DiCaprio-Films „One Battle After Another“.

Was ist passiert?

Der gefälschte enthält schädliche Programme. Die Gefahr liegt nicht im eigentlichen Film, sondern in einer Untertitel‑Datei (*.srt). Dort ist ein kleiner PowerShell‑Befehl versteckt, der beim Öffnen des Torrents das Betriebssystem infiziert.

Die Entdeckung stammt von Forschenden bei Bitdefender, die nach einem Anstieg von Meldungen zu diesem Film nach der Ursache suchten.

Hintergrund

  • Neue Filme ziehen viele Downloader an. Auch noch gratis? Sabber (Entschuldigung!) Cyberkriminelle nutzen das Interesse aus, um Schadsoftware zu verbreiten.
  • Der Angriff ist besonders raffiniert. Statt offensichtlicher Viren steckt die Schadsoftware in einer harmlos wirkenden Untertitel‑Datei.
  • Betroffene Windows-Geräte erhalten das bekannte Trojaner‑Programm „Agent Tesla“. Dieses sammelt Passwörter, E‑Mails, Browser‑Daten und Screenshots.

So funktioniert der Angriff

Schritt 0: Interesse am Film
User:in will nicht für das Filmschauen zahlen und sucht nach Alternativmöglichkeiten…

Schritt 1: Torrent-Download
Der Nutzer:in lädt den Torrent herunter, der neben dem Film noch Bilder, eine Verknüpfungsdatei (CD.lnk) und die Untertitel‑Datei enthält.

Schritt 2: Verknüpfung starten
Durch Doppelklick auf die Verknüpfung wird ein Windows‑Befehl ausgeführt, der die Untertitel‑Datei öffnet.

Schritt 3: PowerShell‑Script aktivieren
Zwischen Zeile 100 und 103 der Untertitel‑Datei befindet sich ein versteckter PowerShell‑Befehl. Dieser wird gestartet und entschlüsselt weitere Daten.

Schritt 4: Mehrere kleine Skripte werden erstellt
Aus den entschlüsselten Daten entstehen fünf weitere PowerShell‑Skripte, die im Ordner C:\Users\<Benutzer>\AppData\Local\Microsoft\Diagnostics abgelegt werden.

Schritt 5: Schadcode wird installiert
Diese Skripte führen nacheinander Aktionen aus:
• Entpacken der Filmdatei
• Anlegen einer versteckten geplanten Aufgabe
• Auslesen von Bilddateien (Photo.jpg, Cover.jpg) und Ablegen von weiteren Dateien im System
• Prüfen, ob Windows‑Defender aktiv ist
• Herunterladen und Laden des eigentlichen Schadprogramms Agent Tesla direkt in den Arbeitsspeicher.

Agent Tesla, das bewährte SpyTool ist seit 2014 im Umlauf und wird häufig eingesetzt, weil es leicht zu verteilen ist und zuverlässig persönliche Daten stiehlt.
Das war’s dann auch schon…

Was bedeutet das für Sie?

  • Vermeiden Sie illegale Torrents. Sie sind ein beliebtes Einfallstor für Malware.
  • Öffnen Sie keine unbekannten Verknüpfungen oder Untertitel‑Dateien. Selbst wenn Sie nur den Film ansehen wollen, kann das Ausführen einer solchen Datei Ihr Gerät gefährden.
  • Halten Sie Ihre Sicherheitssoftware aktuell. Programme wie Windows‑Defender oder andere Antiviren‑Tools können solche Angriffe erkennen und blockieren.
  • Achten Sie auf ungewöhnliches Verhalten. Wenn Ihr PC plötzlich langsamer wird, neue Prozesse im Hintergrund laufen oder Sie verdächtige Netzwerkaktivität bemerken, führen Sie einen vollständigen Scan Ihres Systems durch.
[https://www.bitdefender.com/en-us/blog/labs/fake-leonardo-dicaprio-movie-torrent-agent-tesla-powershell]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

4 × 1 =