Hackers escondem malware em legendas de filme pirata

Foi descoberta nova táctica original, de atacantes que escondem malware em legendas de filmes pirateados.

A Bitdefender descobriu uma campanha de ataque que se faz passar por um torrent falso do filme One Battle After Another, realizado por Paul Thomas Anderson e protagonizado por Leonardo DiCaprio, para distribuir malware de forma particularmente criativa.

O que torna este ataque invulgar é a forma como o malware é distribuído. Em vez de estar escondido no ficheiro de vídeo, como seria o mais comum, o código malicioso encontra-se escondido no ficheiro de legendas. Ao executar um atalho incluído no torrent - que supostamente reproduziria o filme - o sistema activa comandos do Windows que extraem e executam scripts PowerShell ocultos em linhas específicas das legendas.

A partir daí, o ataque decorre em várias fases. Os scripts PowerShell decifram outros componentes espalhados pelos ficheiros de legendas e imagens, criam tarefas agendadas ocultas, verificam a presença do Windows Defender, e acabam por carregar o malware Agent Tesla directamente para a memória, sem deixar um executável tradicional no disco.

O Agent Tesla é um RAT antigo e bem conhecido no Windows, usado para roubar credenciais de browsers, email, VPNs, e capturar imagens do ecrã. Embora o malware não seja novo, este caso mostra como as técnicas para o fazer chegar aos computadores das vítimas continuam a evoluir.