偽レオナルド・ディカプリオ映画トレントがAgent Teslaマルウェアを拡散

サイバー犯罪者は、レオナルド・ディカプリオ主演の新作映画One Battle After Anotherの偽トレントとしてマルウェアを偽装し、海賊版映画への需要を悪用して、Windowsユーザーに自らのシステムへ感染させるよう仕向けています。

先行アクセス版の映画ダウンロードに見えるものの正体は、Agent Teslaという強力なリモートアクセス型トロイの木馬をインストールするために綿密に構成された攻撃チェーンです。

このマルウェアは「…パスワード、金融データ、ブラウザ情報を盗み出し、感染したPCを完全に制御するために悪用される可能性がある」と、Bitdefenderの研究者は述べています。

エンターテインメントが攻撃ベクターになるとき

このキャンペーンは、人気のエンターテインメント作品のリリースが、特に作品がまだ劇場公開中であったり、主要なストリーミングプラットフォームで視聴できない場合に、マルウェア配布の効果的な誘因であり続けていることを浮き彫りにしています。

先行アクセスを探している人であれば、普段はメディアを違法ダウンロードしないユーザーも含めて誰でも影響を受ける可能性があり、感染した個人デバイスが後に企業ネットワークへの侵入口となる場合もあります。

Bitdefenderは、このキャンペーンがすでに数千人のユーザーに到達していると報告しており、需要に基づく誘因がどれほど迅速にマルウェア運用を拡大させるかを強調しています。

このキャンペーンはソフトウェアの脆弱性を悪用するのではなく、ユーザーの信頼と、なじみのあるトレントの挙動を悪用してAgent Teslaを配布します。

トレントには動画ファイルが含まれているのではなく、ユーザーが映画ファイルに見せかけた悪意あるWindowsショートカットを起動したときに始動する段階的な感染チェーンがパッケージされています。

その操作によって字幕ファイル内に埋め込まれた隠しバッチコマンドがトリガーされ、複数層のPowerShellが実行されてペイロードを展開・実行します。

攻撃者はAESで暗号化されたコンポーネントを画像アーカイブ内に隠し、偽のRealtekオーディオ診断タスクを通じて永続化を確立することで、最終的なAgent Teslaペイロードを完全にメモリ上で実行できるようにしています。

PowerShell、コマンドプロンプト、タスクスケジューラといったWindows標準ツールに依存することで、マルウェアは通常のシステム活動に紛れ込み、多くのファイルベースのセキュリティ制御を回避します。

この手法は、ソーシャルエンジニアリングとLiving off the Land（環境寄生型）テクニックへの広範なシフトを示しており、完全にパッチが適用されたシステムであっても、ユーザーが悪意あるコンテンツの実行にだまされれば侵害されうることを意味します。

CVEを悪用しなくても、この攻撃は認証情報の窃取、リモートアクセス、長期的な永続化を可能にし、信頼に基づく配布メカニズムが依然として現代のマルウェアキャンペーンにおける強力なベクターであることを示しています。

偽のメディアダウンロードを通じて配布されるマルウェアキャンペーンは進化を続けており、脆弱性の悪用よりもユーザー行動や信頼されたシステムツールへの依存を強めています。

これらの脅威に対抗するには、基本的なアンチウイルス保護を超え、マルウェアがどのように配布され、実行され、維持されるかに焦点を当てる必要があります。

これらの対策を組み合わせることで、ファイルレス脅威への露出を低減しつつ、セキュリティ運用を管理可能な範囲に保つことができます。

このキャンペーンは、攻撃者が従来のエクスプロイト中心の手法よりも、高い需要のある誘因と信頼されたシステムツールを好むという、マルウェア配布における広範な変化を示しています。

人気の映画、ゲーム、ソフトウェアのリリースは、大規模なオーディエンスにリーチするための確実な機会を生み出し、ファイルレス実行はマルウェアが検知を回避し、より長く潜伏するのに役立ちます。

海賊版コンテンツへの関心が強い限り、攻撃者はこのような低コストで高リーチな配布手法を洗練させ続ける可能性が高いでしょう。

攻撃者がユーザーの最も信頼するものを悪用する中で、ゼロトラストは、ラテラルムーブメントを制限し、被害範囲を縮小するために不可欠なものとなっています。