O torrent falso do filme “One Battle After Another”, de Leonardo DiCaprio, está sendo usado para entregar o RAT Agent Tesla por meio de uma cadeia LOTL fileless altamente ofuscada, escondida em atalhos e legendas manipuladas.
Como o ataque funciona
Pesquisadores da Bitdefender observaram um pico de detecções ligado a um torrent do filme; ao abrir o atalho CD.lnko usuário aciona comandos que leem o arquivo de legendas Part2.subtitles.srtextraem linhas específicas e como executadas via cmd.exe e PowerShell. O arquivo .srt contém legendas legítimas, mas algumas linhas embutem batch/PowerShell que vão decodificando dados e liberando múltiplos scripts adicionais em etapas.
Os scripts usam recursos nativos do Windows (CMD, PowerShell, Task Scheduler) para extrair payloads ocultos de outros “arquivos de mídia”, como o suposto vídeo One Battle After Another.m2ts (na prática, um arquivo/arquivo container) e a imagem falsa Cover.jpgexecutando tudo em memória, sem gravar o binário final no disco. Essa abordagem fileless e LOTL dificulta a detecção de soluções que carecem apenas de varredura de arquivos, já que o comportamento se mistura às atividades aparentemente normais do sistema.
Agente Tesla e impacto
A fase final da cadeia é o Agente Tesla, um trojan de acesso remoto e ladrão de informações ativo desde 2014, amplamente usado para roubar credenciais, dados pessoais e financeiros, além de transformar o host em “zumbi” para campanhas futuras. O malware já foi visto em campanhas de phishing ligadas à COVID‑19 e, mais recentemente, em ataques a parceiros do Booking.com com e‑mails de “reclamação de hóspedes”.
O torrent malicioso analisado Tinha “milhares de semeadores e leechers”, o que indica ampla exposição de usuários que buscam piratas piratas de lançamentos de cinema. Os casos anteriores mostraram o mesmo padrão de outros filmes populares, como um lançamento falso de “Mission: Impossible – The Final Reckoning” usado para distribuidor o ladrão Lumma Stealer.
Como se proteger
- Evitar torrents e downloads de filmes/séries de fontes não oficiais, principalmente lançamentos muito recentes com muitos seeders; esses arquivos são alvos frequentes para campanhas de malware.
- Desconfiar atalhos (
.lnk) e arquivos de legenda com nomes desejados ou múltiplas versões no mesmo pacote, bem como de qualquer necessidade de “rodar comando” para assistir ao conteúdo. - Habilitar proteção comportamental/antimalware capaz de operar uso suspeito de PowerShell, Task Scheduler e outros LoLBins, além de bloquear scripts ofuscados e execuções apenas na memória.
- Manter sistema operacional e solução de segurança atualizada; usuários de produtos Bitdefender foram bloqueados desde o início da campanha observada
