Торент кој наводно го содржи новиот филм на Леонардо Ди Каприо, "One Battle after Another", е идентификуван како софистицирана замка насочена кон корисниците на „Windows“. Истражувачите од компанијата „Bitdefender“ открија дека овој, на прв поглед обичен пиратски фајл, претставува повеќеслоен сајбер-напад кој користи напредни техники за заобиколување на безбедносните системи.

Она што изгледа како безопасно преземање, всушност е внимателно осмислен механизам што ги користи легитимните компоненти на „Windows“ за да ја прикрие малициозната активност. Оваа тактика, позната како „Living Off the Land“ (LOTL), им овозможува на напаѓачите да се вградат во нормалните процеси на системот, правејќи ја детекцијата од страна на антивирусните алатки исклучително тешка.

Како започнува нападот

Заразувањето започнува наизглед безопасно: корисниците го преземаат торентот и кликнуваат на фајл со име CD.lnk, мислејќи дека ќе го пуштат филмот. Во реалноста, овој чекор активира скриена секвенца од команди што го подготвуваат теренот за понатамошна зараза на системот.

Потоа се вчитува фајлот со преводи Part2. subtitles.srt, кој изгледа како обичен фајл со титлови. Всушност, тој содржи линии код што активираат „PowerShell“ скрипти, кои преземаат и извршуваат дополнителни малициозни фајлови скриени во наизглед легитимни филмски фајлови, како "One Battle After Another.m2ts" и лажниот "Cover.jpg".

Таен начин на работа – малициозен софтвер во „RAM“

Една од најопасните карактеристики на овој напад е неговата невидливост. Целиот процес на зараза се одвива исклучиво во „RAM“ меморијата на компјутерот, што значи дека малициозниот софтвер никогаш не се запишува на хард-дискот. Овој начин на работа му овозможува на малициозниот софтвер да остане незабележан од повеќето безбедносни алатки, оставајќи го системот ранлив, а корисникот несвесен за заканата.

Оваа техника дополнително го отежнува отстранувањето на малициозниот софтвер, бидејќи традиционалните антивирусни програми можеби нема да го детектираат додека е активен. Комбинацијата од работа во „RAM“ и LOTL стратегијата покажува колку напаѓачите постојано ги унапредуваат своите методи за да бидат чекор пред заштитата.

Agent Tesla – крајната цел на нападот

На крајот од ланецот на зараза се инсталира „Agent Tesla“, познат тројанец за далечински пристап (RAT) кој е активен уште од 2014 година. Откако ќе се активира, „Agent Tesla“ им овозможува на напаѓачите целосна контрола врз заразениот уред, вклучително и кражба на лозинки, лични фајлови, финансиски податоци и други чувствителни информации.

Овој тројанец може дури и да го претвори заразениот компјутер во „зомби“ уред кој се користи за идни сајбер-напади, што дополнително го зголемува ризикот од преземање пиратска содржина. „Agent Tesla“ претходно бил користен во фишинг-кампањи, вклучително и оние поврзани со темата „COVID-19“, што ја покажува неговата долготрајност и разновидна примена во сајбер-криминалот.

Скриениот ризик на пиратската содржина

Од „Bitdefender“ наведуваат и дека лажниот торент веќе има „илјадници seeders и leechers“, што укажува дека голем број корисници можеле да бидат изложени на овој малициозен софтвер. Обемот на дистрибуција јасно покажува колку лесно напаѓачите ја користат привлечноста на „бесплатната“ содржина за да стигнат до жртви ширум светот.

Овој случај претставува сериозно предупредување дека пиратските филмови често кријат скриени ризици. Она што изгледа како „бесплатен“ фајл може да чини лични податоци, финансиска безбедност и целосна контрола над уредот. Експертите за сајбер-безбедност апелираат корисниците да преземаат содржини исклучиво од легитимни извори и да бидат внимателни за да не станат жртви на слични напади.