- Valse filmtorrents leveren malware in meerdere stappen af zonder dat de gebruiker de uitvoeringsstappen merkt
- AgentTesla steelt stil en efficiënt browser-, e-mail-, FTP- en VPN-inloggegevens
- Schadelijke PowerShell-scripts verbergen zich in ondertitels, die worden uitgepakt wanneer gebruikers snelkoppelingen starten
Cybercriminelen hebben een frauduleuze torrent verspreid die beweert ‘One Battle After Another’ te bevatten, een film die op 26 september 2025 werd uitgebracht met Leonardo DiCaprio in de hoofdrol.
De torrent lijkt op het eerste gezicht authentiek en bundelt een groot filmbestand samen met afbeeldingen, ondertitels en een snelkoppeling gepresenteerd als een opstartprogramma.
Onderzoekers observeerden duizenden seeders en leechers die aan het bestand waren gekoppeld, wat duidt op een wijdverbreide verspreiding in plaats van op een geïsoleerde campagne.
Hoe de infectieketen wordt geactiveerd
De aanval begint wanneer de gebruiker op een snelkoppelingsbestand klikt, vermomd als filmstartprogramma.
Met deze actie worden Windows-opdrachten uitgevoerd die op de achtergrond een kwaadaardig PowerShell-script uitpakken en uitvoeren dat verborgen is in het ondertitelingsbestand.
Aanvallers verbergen het script tussen specifieke subtekstregels en mengen het tot tekst die bij oppervlakkige inspectie onschadelijk lijkt.
Indien ingeschakeld, extraheert het script meerdere AES-gecodeerde blokken die zijn ingebed in hetzelfde ondertitelbestand en reconstrueert het verschillende extra PowerShell-scripts op het systeem.
De uitgepakte scripts schrijven zichzelf naar een diagnostische map in het gebruikersprofiel en fungeren als een gecoördineerde malware-lader.
Bij één stap wordt het filmbestand hergebruikt als archief, terwijl bij een andere stap een verborgen geplande taak van RealtekDiagnostics wordt gemaakt om de persistentie na het opnieuw opstarten te behouden.
Extra stappen decoderen van binaire gegevens die verborgen zijn in afbeeldingsbestanden, herstellen deze in de diagnostische cachelocaties van Windows en verifiëren dat de benodigde mappen bestaan.
De laatste stappen controleren de Windows Defender-status, installeren de Go-runtime en laden de laatste payload rechtstreeks in het geheugen.
De geleverde malware is AgentTesla, een Windows-trojan voor externe toegang die sinds 2014 actief is.
Het steelt inloggegevens van browsers, e-mailclients, FTP-tools en VPN-software en maakt tegelijkertijd schermafbeeldingen.
Bitdefender merkt op dat soortgelijke campagnes gekoppeld aan andere filmtitels verschillende malwarefamilies hebben opgeleverd, wat aantoont dat de aanvalsman herbruikbaar blijft, zelfs als de lading verandert.
De aanvalsketen is niet afhankelijk van het exploiteren van softwarefouten, maar van de uitvoering door de gebruiker, waarbij fundamentele zaken worden omzeild antivirusprogramma verdediging door gelaagde verduistering.
Torrent-bestanden van anonieme uitgevers blijven een consistente leveringsmethode voor malware die inloggegevens steelt.
Gereedschappen die op de markt worden gebracht bescherming tegen identiteitsdiefstal of verwijdering van malware bieden beperkte hulp wanneer de inloggegevens al zijn geëxfiltreerd.
Deze campagne onderstreept hoe door entertainment gedreven nieuwsgierigheid de fundamentele voorzichtigheid blijft overstijgen, zelfs nu technieken complexer en moeilijker te herkennen worden.
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, video-unboxings en ontvang regelmatig updates van ons WhatsAppen Ook.
