- Torrent film palsu mengirimkan malware multi-tahap tanpa pengguna memperhatikan langkah-langkah eksekusinya
- AgentTesla mencuri kredensial browser, email, FTP, dan VPN secara diam-diam dan efisien
- Skrip PowerShell berbahaya bersembunyi di dalam subtitle, diekstraksi saat pengguna meluncurkan pintasan
Penjahat dunia maya telah menyebarkan torrent palsu yang mengklaim berisi “One Battle After Another”, sebuah film yang dirilis pada 26 September 2025 dan dibintangi oleh Leonardo DiCaprio.
Sekilas torrent tampak asli, menggabungkan file film besar bersama gambar, subtitle, dan pintasan yang disajikan sebagai peluncur.
Para peneliti mengamati ribuan seeder dan leecher yang melekat pada file tersebut, menunjukkan penyebaran yang luas dibandingkan kampanye yang terisolasi.
Bagaimana rantai infeksi dipicu
Serangan dimulai ketika pengguna mengklik file shortcut yang disamarkan sebagai peluncur film.
Tindakan ini menjalankan perintah Windows yang secara diam-diam mengekstrak dan menjalankan skrip PowerShell berbahaya yang tersembunyi di dalam file subtitle.
Penyerang menyembunyikan skrip di antara baris subjudul tertentu, memadukannya menjadi teks yang tampak tidak berbahaya selama pemeriksaan biasa.
Setelah diaktifkan, skrip mengekstrak beberapa blok terenkripsi AES yang tertanam dalam file subtitle yang sama, merekonstruksi beberapa skrip PowerShell tambahan pada sistem.
Skrip yang diekstraksi menulis sendiri ke direktori diagnostik dalam profil pengguna dan bertindak sebagai pemuat malware yang terkoordinasi.
Satu tahap menggunakan kembali file film sebagai arsip, sementara tahap lainnya membuat tugas terjadwal RealtekDiagnostics yang tersembunyi untuk mempertahankan persistensi setelah reboot.
Tahapan tambahan mendekode data biner yang tersembunyi di dalam file gambar, mengembalikannya ke lokasi cache diagnostik Windows, dan memverifikasi bahwa direktori yang diperlukan ada.
Langkah terakhir adalah memeriksa status Windows Defender, menginstal runtime Go, dan memuat muatan akhir langsung ke memori.
Malware yang dikirimkan adalah AgentTesla, trojan akses jarak jauh Windows yang aktif sejak 2014.
Itu mencuri kredensial dari browser, klien email, alat FTP, dan perangkat lunak VPN, sekaligus menangkap tangkapan layar.
Bitdefender mencatat bahwa kampanye serupa yang dikaitkan dengan judul film lain telah menghasilkan kelompok malware yang berbeda, menunjukkan bahwa umpan tersebut tetap dapat digunakan kembali bahkan ketika muatannya berubah.
Rantai serangan tidak bergantung pada eksploitasi kelemahan perangkat lunak tetapi pada eksekusi pengguna, melewati kelemahan dasar anti Virus pertahanan melalui kebingungan berlapis.
File torrent dari penerbit anonim tetap menjadi metode pengiriman yang konsisten untuk malware pencuri kredensial.
Alat yang dipasarkan perlindungan pencurian identitas atau penghapusan malware menawarkan bantuan terbatas setelah kredensial sudah diambil.
Kampanye ini memperkuat bagaimana keingintahuan yang didorong oleh hiburan terus mengesampingkan kehati-hatian dasar, bahkan ketika teknik menjadi lebih kompleks dan sulit dikenali.
Melalui Komputer Tidur
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
