レオナルド・ディカプリオ主演の『One Battle After Another』を装った偽トレントが、字幕ファイル内に悪意のある PowerShell マルウェアローダーを隠し、最終的に Agent Tesla RAT マルウェアでデバイスを感染させます。
この悪意あるトレントファイルは、この映画に関連する検知の急増を調査していた Bitdefender の研究者によって発見されました。
『One Battle After Another』は、レオナルド・ディカプリオ、ショーン・ペン、ベニチオ・デル・トロが出演し、2025年9月26日に公開された、評価の高いポール・トーマス・アンダーソン監督の映画です。
サイバー犯罪者が新作映画への関心を悪用して悪意あるトレントをアップロードするのは珍しいことではありませんが、Bitdefender は、このケースは感染チェーンが異常に複雑かつステルス性が高い点で際立っていると指摘しています。
「どれだけ多くの人がこのファイルをダウンロードしたかを推定することは不可能ですが、問題の映画には何千ものシーダーとリーチャーがいるのを確認しました」と、Bitdefender は説明しています。
字幕からマルウェアを起動
攻撃に使用されたダウンロード済みの『One Battle After Another』映画トレントには、映画ファイル(One Battle After Another.m2ts)、2つの画像ファイル(Photo.jpg、Cover.jpg)、字幕ファイル(Part2.subtitles.srt)、そして映画ランチャーのように見えるショートカットファイル(CD.lnk)など、さまざまなファイルが含まれていました。
CD ショートカットが実行されると、Windows コマンドが起動され、字幕ファイルの 100 行目から 103 行目の間に埋め込まれた悪意ある PowerShell スクリプトを抽出して実行します。
この PowerShell スクリプトは、その後再び字幕ファイルから多数の AES で暗号化されたデータブロックを抽出し、5つの PowerShell スクリプトを再構築して ‘C:\Users\<USER>\AppData\Local\Microsoft\Diagnostics’ にドロップします。
出典: BleepingComputer
抽出された PowerShell スクリプトはマルウェアドロッパーとして機能し、ホスト上で以下の動作を行います。
- ステージ 1 – 利用可能な任意の解凍ツールを使って、One Battle After Another.m2ts ファイルをアーカイブとして展開します。
- ステージ 2 – RealtekCodec.bat を実行する隠しスケジュールタスク(RealtekDiagnostics)を作成します。
- ステージ 3 – Photo.jpg に埋め込まれたバイナリデータをデコードし、復元したファイルを Windows サウンド診断キャッシュディレクトリに書き込みます。
- ステージ 4 – %LOCALAPPDATA%\Packages\Microsoft.WindowsSoundDiagnostics\Cache が存在することを確認します。
- ステージ 5 – Cover.jpg の内容をキャッシュディレクトリに展開し、バッチファイルや PowerShell スクリプトを含めます。
最終ステージで抽出されたファイルは、Windows Defender が有効かどうかの確認、Go のインストール、最終ペイロード(AgentTesla)の抽出、およびそれをメモリ上に直接ロードするために使用されます。
AgentTesla は 2014 年から活動している Windows 向け RAT 兼情報窃取マルウェアで、ブラウザ、メール、FTP、VPN の認証情報の窃取やスクリーンショットの取得によく利用されています。
Agent Tesla 自体は新しいものではありませんが、その信頼性と展開の容易さから、依然として広く使用されています。
Bitdefender は、たとえば『Mission: Impossible – The Final Reckoning』など他の映画タイトルでは、Lumma Stealer など別のマルウェアファミリーが使われていることも確認しています。
匿名の配布者によるトレントファイルにはマルウェアが含まれていることが多いため、安全のためにもユーザーは新作映画の違法ダウンロードを完全に避けることが推奨されます。
