- Torrents de filmes falsos entregam malware em vários estágios sem que o usuário perceba as etapas de execução
- AgentTesla rouba credenciais de navegador, e-mail, FTP e VPN de forma silenciosa e eficiente
- Scripts maliciosos do PowerShell se escondem dentro de legendas, que são exibidas quando os usuários iniciam atalhos
Os cibercriminosos lançaram um torrent fraudulento de “Uma batalha após outra”, filme lançado em 26 de setembro de 2025, estrelado por Leonardo DiCaprio.
O torrent parece genuíno à primeira vista, um grande arquivo de filme com imagens, legendas e um atalho apresentado como inicializador.
Os investigadores observaram milhares de semeadores e sanguessugas anexados ao ficheiro, sugerindo uma distribuição generalizada em vez de uma campanha isolada.
Como começa a cadeia de infecção
O ataque começa quando o usuário clica em um arquivo de atalho disfarçado de inicializador de filme.
Esta ação executa comandos do Windows que extraem e executam silenciosamente um script malicioso do PowerShell oculto dentro do arquivo de legendas.
Os invasores escondem o script entre linhas de legenda específicas, misturando-o em um texto que parece inócuo à primeira vista.
Uma vez ativado, o script extrai vários blocos criptografados AES incorporados no mesmo arquivo de legenda, reconstruindo alguns scripts adicionais do PowerShell no sistema.
Os scripts extraídos são gravados em um diretório de diagnóstico no perfil do usuário e atuam como carregadores de malware coordenados.
Um estágio usa o arquivo do filme como um arquivo e outro cria uma tarefa agendada oculta do RealtekDiagnostics para manter a persistência após a reinicialização.
O estágio adicional decodifica dados binários ocultos em arquivos de imagem, restaura locais de cache de diagnóstico do Windows e verifica os diretórios necessários.
As etapas finais verificam o status do Windows Defender, instalam o tempo de execução Go e carregam a carga mais recente diretamente na memória.
O malware entregue é o AgentTesla, um trojan de acesso remoto do Windows ativo desde 2014.
Ele rouba credenciais de navegadores, clientes de e-mail, ferramentas de FTP e software VPN, além de fazer capturas de tela.
A Bitdefender observa que campanhas semelhantes vinculadas a outros títulos de filmes produziram diferentes famílias de malware, mostrando que permanecem reutilizáveis mesmo quando a carga útil muda.
A cadeia de ataque não explora bugs de software, mas depende da execução do usuário, contornando as defesas antivírus básicas por meio da ofuscação de camadas.
Arquivos torrent de editores anônimos continuam sendo um método de entrega consistente para malware que rouba credenciais.
As ferramentas comercializadas para proteção contra roubo de identidade ou remoção de malware oferecem suporte limitado quando as credenciais já foram comprometidas.
Esta campanha reforça como a curiosidade alimentada pelo entretenimento continua a superar a prudência básica, mesmo quando as técnicas se tornam mais complexas e difíceis de discernir.
Através Computador buzinando
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
