Bitdefenderのサイバーセキュリティ研究者は、レオナルド・ディカプリオ主演の新作映画「One Battle After Another」のトレントファイルに関する調査結果を公開した。一見するとシンプルな無料映画ダウンロードのように見えたが、実際には、疑うことを知らないWindowsユーザーを感染させるために設計された、多段階の隠れたサイバー攻撃だった。
Bitdefenderの研究者はまず、この偽映画トレントに関連する検知が急増していることに気づいた。さらに調査を進めると、一般的なWindowsプログラムを悪用してセキュリティ保護を回避する、高度に複雑な感染プロセスが確認された。これは「Living Off the Land(LOTL)」として知られる手法だ。
この手法は、通常のシステム活動に紛れ込むために用いられる。また、偽のマルチメディアファイルを使ってウイルスを拡散すること自体は新しいものではない点にも留意すべきだ。研究者らは以前にも、映画「ミッション:インポッシブル – The Final Reckoning」を悪用してLumma Stealerを拡散する、同様の手口を報告している。
字幕に潜む脅威
本日公開に先立ちHackread.comと共有されたBitdefenderの調査によると、ユーザーが映画トレントをダウンロードし、映画を再生するためにCD.lnkというショートカットファイルをクリックすると、ユーザーの知らないところで隠れたコマンドの連鎖が起動することが判明した。
研究者によれば、この特定の攻撃は、トレントのリスクに不慣れな初心者ユーザーや、普段あまり違法コンテンツやトレント経由のコンテンツをダウンロードしないユーザーを狙っているようだという。
攻撃はPart2.subtitles.srtという字幕ファイルを通じて進行する。このファイルには実際の字幕が含まれているが、そのうちの数行には複数のPowerShellスクリプトを起動する悪意あるコードが仕込まれている。
これらのスクリプトは、その後、One Battle After Another.m2tsという大きな動画ファイルや、Cover.jpgという偽の画像ファイルなど、他の映画ファイルからさらに隠されたプログラムを抽出・実行する。この一連のプロセスは非常に多層的であり、最終的なウイルスはコンピュータのメモリ上だけで動作する。この手法により、セキュリティソフトによる検知が難しくなる。
Agent Teslaペイロード
この手の込んだ仕組みの最終目的は、Agent Teslaマルウェアをインストールすることだ。これはリモートアクセス型トロイの木馬(RAT)であり、攻撃者に被害者のコンピュータへの完全なリモート制御権限を与える。
一度インストールされると、攻撃者は個人情報や金融情報を盗み出したり、感染したWindows PCを研究者が「ゾンビエージェント」と呼ぶ状態にして、将来の攻撃に利用できるようにしたりすることができる。Agent Teslaは2014年から存在しており、COVID-19関連のフィッシングメールを含む、過去のさまざまなキャンペーンで使用されてきた。
悪い知らせとして、この偽映画トレントには「数千人のシーダーとリーチャー」がいることが確認されており、多数の人々がこのリスクにさらされていた可能性が示唆される。この発見は、無料の娯楽をうたうオンラインファイルの中に、脅威がいかに容易に紛れ込めるかを物語っている。
翻訳元: https://hackread.com/dicaprio-one-battle-after-another-torrent-agent-tesla/
