- Sahte film torrentleri, kullanıcı yürütme adımlarını fark etmeden çok aşamalı kötü amaçlı yazılımlar sunar
- AgentTesla tarayıcı, e-posta, FTP ve VPN kimlik bilgilerini sessizce ve etkili bir şekilde çalıyor
- Kötü amaçlı PowerShell komut dosyaları altyazıların içinde gizlenir ve kullanıcılar kısayolları başlattığında çıkarılır
Siber suçlular, 26 Eylül 2025’te vizyona giren, Leonardo DiCaprio’nun başrol oynadığı “Bir Savaş Sonra Diğeri” filmini içerdiğini iddia eden sahte bir torrent yaydı.
Torrent, ilk bakışta orijinal görünüyor; resimler, altyazılar ve başlatıcı olarak sunulan bir kısayolun yanı sıra büyük bir film dosyasını bir araya getiriyor.
Araştırmacılar, dosyaya eklenmiş binlerce ekici ve sülük gözlemledi; bu da izole bir kampanya yerine geniş bir dağıtıma işaret etti.
Enfeksiyon zinciri nasıl tetiklenir?
Saldırı, kullanıcının film başlatıcı kılığına girmiş bir kısayol dosyasını tıklatmasıyla başlıyor.
Bu eylem, altyazı dosyasının içine gizlenmiş kötü amaçlı bir PowerShell betiğini sessizce çıkarıp çalıştıran Windows komutlarını yürütür.
Saldırganlar, metni belirli altyazı satırları arasına gizleyerek, sıradan inceleme sırasında zararsız görünen bir metne dönüştürüyor.
Betik etkinleştirildikten sonra aynı altyazı dosyasına gömülü birden fazla AES şifreli bloğu çıkararak sistemde birkaç ek PowerShell betiğini yeniden oluşturur.
Çıkarılan komut dosyaları kendilerini kullanıcı profili içindeki bir teşhis dizinine yazar ve koordineli bir kötü amaçlı yazılım yükleyicisi görevi görür.
Aşamalardan biri film dosyasını bir arşiv olarak yeniden amaçlarken, diğeri yeniden başlatma sonrasında kalıcılığı korumak için gizli bir RealtekDiagnostics zamanlanmış görevi oluşturur.
Ek aşamalar, görüntü dosyalarının içinde gizli olan ikili verilerin kodunu çözer, bunları Windows tanılama önbellek konumlarına geri yükler ve gerekli dizinlerin mevcut olduğunu doğrular.
Son adımlarda Windows Defender durumunu kontrol edin, Go çalışma zamanını yükleyin ve son veriyi doğrudan belleğe yükleyin.
Teslim edilen kötü amaçlı yazılım, 2014’ten beri aktif olan bir Windows uzaktan erişim truva atı olan AgentTesla’dır.
Tarayıcılardan, e-posta istemcilerinden, FTP araçlarından ve VPN yazılımından kimlik bilgilerini çalarken aynı zamanda ekran görüntüleri de yakalar.
Bitdefender, diğer filmlerle bağlantılı benzer kampanyaların farklı kötü amaçlı yazılım aileleri sunduğunu, bunun da yükün değiştiği durumlarda bile yemin yeniden kullanılabilir kaldığını gösterdiğini belirtiyor.
Saldırı zinciri, yazılım kusurlarından yararlanmaya değil, temel adımları atlayarak kullanıcı yürütmesine dayanır. antivirüs katmanlı gizleme yoluyla savunma.
Anonim yayıncılardan gelen torrent dosyaları, kimlik bilgisi hırsızlığı yapan kötü amaçlı yazılımlar için tutarlı bir dağıtım yöntemi olmaya devam ediyor.
Pazarlanan araçlar kimlik hırsızlığı koruması veya kötü amaçlı yazılım temizleme Kimlik bilgileri zaten çalındıktan sonra sınırlı yardım sunun.
Bu kampanya, teknikler daha karmaşık ve fark edilmesi zor hale gelse bile, eğlenceye dayalı merakın temel uyarıları geçersiz kılmaya devam ettiğini güçlendiriyor.
Aracılığıyla Bip sesi çıkaran bilgisayar
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.