Fałszywy torrent „One Battle After Another” ukrywa malware w… napisach. Kampania kończy się infekcją Agent Tesla - Security Bez Tabu

Fałszywy torrent „One Battle After Another” ukrywa malware w… napisach. Kampania kończy się infekcją Agent Tesla

Wprowadzenie do problemu / definicja luki

Badacze Bitdefender ostrzegają przed fałszywym torrentem filmu „One Battle After Another” (z Leonardo DiCaprio), który nie tylko zawiera standardowy pakiet „fałszywych plików”, ale wykorzystuje… plik z napisami .srt do uruchomienia złożonego łańcucha loaderów PowerShell. Ostatecznie ofiara zostaje zainfekowana zdalnym trojanem Agent Tesla (RAT/infostealer). O sprawie informuje też BleepingComputer, podkreślając nietypowe ukrycie kodu uruchamianego z poziomu linii konkretnych wierszy napisów.

W skrócie

  • Wejście: użytkownik pobiera torrent z rzekomym filmem; w paczce m.in. plik skrótu CD.lnk, pliki graficzne i napisy Part2.subtitles.srt.
  • Wykonanie/persistencja: CD.lnk wywołuje polecenia, które czytają i wykonują linie 100–103 z .srt, uruchamiając kilka zagnieżdżonych skryptów PowerShell i tworząc ukryte zadanie Harmonogramu Zadań RealtekDiagnostics.
  • Łańcuch dropperów: kolejne etapy odszyfrowują dane z .srt i plików JPG/„m2ts”, instalują narzędzia i ładują finalny Agent Tesla w pamięci (fileless).
  • TTPs (MITRE ATT&CK): PowerShell (T1059.001), Scheduled Task (T1053.005), obfuskacja/dekodowanie danych i wykonanie w pamięci.

Kontekst / historia / powiązania

Wykorzystywanie premier filmowych do dystrybucji malware przez torrenty to stary trik, ale Bitdefender ocenia ten przypadek jako szczególnie złożony i „warstwowy”. W przeszłości widziano podobne nadużycia przy innych tytułach (np. dystrybucja Lumma Stealer), co potwierdzają również niezależne analizy branżowe (ESET, Microsoft TI) – popularne infostealery są szeroko monetyzowane w modelu MaaS i często łączone z pirackimi treściami.

Analiza techniczna / szczegóły luki

Zawartość torrenta
Paczka zawiera m.in.: One Battle After Another.m2ts (w rzeczywistości archiwum), Photo.jpg, Cover.jpg, Part2.subtitles.srt oraz skrót CD.lnk. Kliknięcie skrótu inicjuje cały łańcuch.

Start z pliku .srt
CD.lnk uruchamia polecenie CMD, które czyta Part2.subtitles.srt, wybiera linie 100–103 i wykonuje znajdujący się tam kod wsadowy/PowerShell. Następnie skrypt ponownie otwiera .srt, przeskakuje do dalszych wierszy (np. od 5005) i interpretuje kolejne fragmenty jako kod – to nietypowa technika ukrycia w pozornie niewinnym formacie. Technika mieści się w ATT&CK: T1059.001 PowerShell.

Warstwowe droppery i persystencja
Z .srt wydobywane są szyfrowane (AES) bloki danych, które składają pięć skryptów PowerShell do folderu C:\Users\<USER>\AppData\Local\Microsoft\Diagnostics. Następnie tworzony jest ukryty Scheduled Task RealtekDiagnostics (opis „Audio Helper”), uruchamiający RealtekCodec.bat, co odpowiada T1053.005 (Scheduled Task/Job).

„Multimedia” jako archiwa

  • One Battle After Another.m2ts – służy jako archiwum rozpakowywane z użyciem wbudowanych narzędzi lub WinRAR/7-Zip/Bandizip (LotL).
  • Photo.jpg – zawiera zakodowane bajty kilku plików, dekodowane i zapisywane do katalogu cache diagnostyki dźwięku Windows.
  • Cover.jpg – kolejne „ukryte archiwum” (hasło 1), z którego wypakowywane są pliki wsadowe, skrypty i komponenty (m.in. RealtekAudioService.go).

Finalny payload i tryb fileless
Ostatni etap sprawdza stan Microsoft Defendera, doinstalowuje wymagane składniki (np. środowisko Go), a następnie ładuje Agent Tesla w pamięci bez klasycznego zapisu na dysk, utrudniając detekcję. Agent Tesla od lat służy do kradzieży haseł z przeglądarek, klientów pocztowych, FTP/VPN oraz wykonywania zrzutów ekranu i zdalnej kontroli.

Powiązane techniki (ATT&CK):

  • T1059 / T1059.001 – Command & Scripting Interpreter / PowerShell.
  • T1053.005 – Scheduled Task dla persystencji.
  • TA0003 – taktyka Persistence jako całość.
  • Obfuskacja/ukrywanie ładunków w nietypowych kontenerach (obrazy/„wideo”), dekodowanie i wykonanie w pamięci.

Praktyczne konsekwencje / ryzyko

  • Wykradanie danych uwierzytelniających (przeglądarki, e-maile, VPN/FTP) i przejęcia kont. Agent Tesla jest aktywny od 2014 r. i pozostaje w obiegu z licznymi wariantami.
  • Trwała obecność dzięki zadaniu Harmonogramu i elementom fileless – utrudniona triage i forensyka.
  • Ryzyko wtórnych ataków (np. ransomware, dalsze infostealery), co pokazują trendy na rynku MaaS (np. Lumma).

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/IT:

  1. Blokady & reguły detekcji (EDR/SIEM):
    • Wykrywanie nietypowych odwołań do Part2.subtitles.srt, CD.lnk, katalogu ...\Microsoft\WindowsSoundDiagnostics\Cache, nazw z prefiksem Realtek w ścieżkach AppData.
    • Telemetria na PowerShell z -ep Bypass, -windowstyle hidden, -nop. (T1059.001)
    • Alerty na tworzenie zadań RealtekDiagnostics / autorun z opisem „Audio Helper”. (T1053.005)
  2. Kontrola aplikacji / ASR: zaostrzyć polityki dla PowerShell (Constrained Language Mode), blokady uruchamiania skryptów z katalogów użytkownika, reguły Attack Surface Reduction.
  3. Network: monitorować nietypowe połączenia wychodzące po infekcji (Agent Tesla C2), w razie potrzeby izolować hosty. (Ogólne właściwości rodziny)
  4. IR: jeżeli stwierdzono artefakty, wyczyścić zadania zaplanowane, katalog Cache diagnostyki dźwięku, artefakty w ...\Microsoft\Diagnostics, zresetować hasła w przeglądarkach/klientach poczty/VPN i przeprowadzić pełny hunt pod kątem fileless.

Dla użytkowników (security awareness):

  • Nie pobieraj nowości filmowych z anonimowych torrentów. To jeden z najczęstszych wektorów dla infostealerów.
  • Jeśli już korzystasz z torrentów, otwieraj tylko w sandboxie/VM, nie uruchamiaj skrótów .lnk, nie klikaj „magicznych” plików startowych – film .m2ts/.mkv nie powinien wymagać skrótu i dodatkowych plików wsadowych.
  • Aktualny AV/EDR + automatyczne aktualizacje systemu i przeglądarek.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W odróżnieniu od typowych kampanii torrentowych, gdzie złośliwy plik to „fałszywy instalator” lub sam film jest nośnikiem steganografii, tutaj kluczowy kod wykonawczy tkwi w pliku napisów .srt i jest wywoływany poprzez precyzyjne odczytanie wybranych linii. To odróżnia kampanię od wielu obserwowanych ostatnio dystrybucji Lumma Stealer, które częściej bazują na phishingu, fałszywych stronach/„CAPTCHA” lub GitHub/Cloud delivery.

Podsumowanie / kluczowe wnioski

  • Kampania jest zaawansowana operacyjnie: wieloetapowy łańcuch PowerShell, obfuskacja, konteneryzacja w obrazach i „wideo”, persistencja przez Scheduled Task oraz fileless końcówka.
  • Celem jest kradzież danych przy użyciu Agent Tesla – nadal popularnego i skutecznego infostealera/RAT.
  • Higiena cyfrowa i kontrola PowerShell + monitorowanie Harmonogramu Zadań to dziś obowiązek w Windowsowej obronie endpointów (ATT&CK: T1059.001, T1053.005).

Źródła / bibliografia

  • Bitdefender Labs – „Fake Leonardo DiCaprio Movie Torrent Drops Agent Tesla Through Layered PowerShell Chain” (10 grudnia 2025). Źródło techniczne kampanii. (Bitdefender)
  • BleepingComputer – wiadomość o kampanii i streszczenie ustaleń (12 grudnia 2025). (BleepingComputer)
  • MITRE ATT&CK – T1059 / T1059.001 (PowerShell), T1053.005 (Scheduled Task/Job), TA0003 (Persistence) – klasyfikacja TTP. (MITRE ATT&CK)
  • Check Point – Agent Tesla Malware – charakterystyka rodziny i możliwości kradzieży danych. (checkpoint.com)
  • Microsoft / ESET – tło dot. Lumma Stealer i trendów w infostealerach (porównanie). (Microsoft)