- 偽の映画トレントが、ユーザーに実行手順を気づかせないまま多段階のマルウェアを配布
- AgentTeslaがブラウザ、メール、FTP、VPNの認証情報を静かに効率よく窃取
- 悪意あるPowerShellスクリプトが字幕内に潜み、ユーザーがショートカットを起動すると抽出される
サイバー犯罪者は、レオナルド・ディカプリオ主演で2025年9月26日に公開された映画「One Battle After Another」を収録していると主張する不正なトレントを流通させた。
このトレントは一見すると本物らしく、大容量の映画ファイルに加えて画像、字幕、そしてランチャーとして提示されたショートカットが同梱されている。
研究者は、このファイルに数千のシーダーとリーチャーが付いていることを確認しており、単発のキャンペーンではなく広範に拡散していることを示唆している。
感染チェーンがどのように起動されるか
攻撃は、ユーザーが映画ランチャーに偽装されたショートカットファイルをクリックした時点で始まる。
この操作によりWindowsコマンドが実行され、字幕ファイル内に隠された悪意あるPowerShellスクリプトが密かに抽出・実行される。
攻撃者は特定の字幕行の間にスクリプトを隠し、ざっと確認した程度では無害に見えるテキストに紛れ込ませている。
起動すると、スクリプトは同じ字幕ファイルに埋め込まれた複数のAES暗号化ブロックを抽出し、システム上でさらにいくつものPowerShellスクリプトを再構成する。
抽出されたスクリプトはユーザープロファイル内の診断用ディレクトリに自分自身を書き込み、連携して動作するマルウェアローダーとして機能する。
ある段階では映画ファイルをアーカイブとして流用し、別の段階では再起動後も永続化するために、隠しスケジュールタスク「RealtekDiagnostics」を作成する。
追加の段階では、画像ファイル内に隠されたバイナリデータをデコードし、Windowsの診断キャッシュの場所に復元したうえで、必要なディレクトリが存在することを確認する。
最終段階ではWindows Defenderの状態を確認し、Goランタイムをインストールして、最終ペイロードをメモリ上に直接ロードする。
配布されるマルウェアは、2014年から活動しているWindows向けリモートアクセストロイの木馬「AgentTesla」だ。
これはブラウザ、メールクライアント、FTPツール、VPNソフトウェアから認証情報を窃取し、スクリーンショットも取得する。
Bitdefenderは、別の映画タイトルに紐づく類似キャンペーンが異なるマルウェアファミリーを配布していたことを指摘しており、ペイロードが変わっても誘い文句は再利用可能であることを示している。
この攻撃チェーンはソフトウェアの脆弱性の悪用に依存せず、ユーザーの実行に依存しており、層状の難読化によって基本的なアンチウイルス防御を回避する。
匿名の公開者によるトレントファイルは、認証情報窃取型マルウェアの一貫した配布手段であり続けている。
身元盗用対策やマルウェア除去をうたうツールは、すでに認証情報が流出した後では効果が限定的だ。
このキャンペーンは、手口がより複雑で見抜きにくくなっているにもかかわらず、娯楽に駆動された好奇心が基本的な警戒心を上回り続けていることを改めて示している。
