Fałszywy film z wirusem. Cyberprzestępcy wykorzystują kinowy hit

Pobieranie najnowszych filmów z torrentów od lat jest jednym z ulubionych sposobów cyberprzestępców na infekowanie komputerów. Najnowszy przykład pokazuje jednak, że ich metody stają się coraz bardziej wyrafinowane. 

Tym razem na celowniku znalazł się głośny film One Battle After Another (Jedna bitwa po drugiej), a całą sprawę ujawnili analitycy Bitdefendera. I choć doświadczeni użytkownicy sieci najpewniej szybko wyczuliby, że coś jest nie tak, to dla mniej obytych z torrentami internautów była to niemal podręcznikowa pułapka.

Fałszywy film, prawdziwy trojan

Zamiast długo wyczekiwanego filmu, pobierany torrent zawierał zestaw plików wyglądających na standardowy pakiet wideo: plik M2TS, napisy oraz element nazwany „CD.link”, opisany jako skrót do uruchomienia filmu. To właśnie ten ostatni był kluczem do ataku.

Tym razem na celowniku cyberprzestępców znalazł się głośny film One Battle After Another (Jedna bitwa po drugiej), a całą sprawę ujawnili analitycy Bitdefendera.

Po kliknięciu skrótu uruchamiany był złośliwy kod ukryty w pliku, który tylko z nazwy udawał materiał wideo. W rzeczywistości był to archiwum zawierające zaszyfrowany malware. To świetnie pokazuje, dlaczego klikanie w „dodatkowe” pliki z torrentów to proszenie się o kłopoty.

Napisy z ukrytym zagrożeniem

Szczególnie sprytnym elementem ataku były… napisy. Plik rzeczywiście zawierał autentyczne dialogi z filmu, ale w części linii zaszyto fragmenty kodu, które uczestniczyły w dalszym etapie infekcji. To sprawiało, że nawet dokładniejsze oględziny zawartości paczki nie musiały wzbudzić podejrzeń.

Sam malware działał wyjątkowo dyskretnie. Wykorzystywał legalne narzędzia systemowe Windows, takie jak CMD, PowerShell czy Harmonogram zadań, stosując technikę „living off the land”, czyli maskowania się w normalnej aktywności systemowej. Dzięki temu kolejne etapy ataku odbywały się w pamięci operacyjnej, bez zapisywania podejrzanych plików na dysku. Efektem końcowym była jednak pełna kontrola nad zainfekowanym komputerem.

Stary trik w nowej odsłonie

Ukrywanie złośliwego oprogramowania w torrentach z popularnymi filmami nie jest niczym nowym. Wcześniej podobne kampanie wykorzystywały m.in. fałszywe pliki związane z serią Mission: Impossible, w których ukryto malware kradnące hasła i ciasteczka przeglądarki.

Nowy atak wyróżnia jednak precyzja i pomysłowość. Według dostępnych informacji złośliwy pakiet wykryto na razie w jednym torrencie, ale biorąc pod uwagę popularność filmu, mógł on trafić na tysiące komputerów, zanim ktokolwiek podniósł alarm.

Wybór One Battle After Another nie był przypadkowy. Produkcja po premierze pod koniec września zebrała świetne recenzje i aż dziewięć nominacji do Złotych Globów, w tym do nagrody za najlepszy film. W branży mówi się też o realnych szansach w nadchodzącym sezonie oscarowym. Taki medialny szum to idealne paliwo dla cyberprzestępców.

Jak się chronić przed podobnymi atakami?

Eksperci przypominają o kilku podstawowych zasadach. Jeśli już ktoś decyduje się na pobieranie torrentów, powinien uruchamiać wyłącznie pliki wideo, ignorując wszelkie skróty, archiwa czy „instalatory”. Dodatkową warstwę ochrony mogą zapewnić seedboxy lub usługi typu debrid, które izolują komputer użytkownika od bezpośredniego kontaktu z podejrzanymi plikami.

Najbezpieczniejszym rozwiązaniem pozostaje jednak korzystanie z legalnych źródeł. One Battle After Another jest dostępny w cyfrowej sprzedaży, wkrótce trafi też do streamingu w HBO Max, a na początku przyszłego roku pojawi się na nośnikach fizycznych.

Piractwo, które może dużo kosztować

Choć piractwo nie jest już tak popularne, jak przed laty, to jednak ostatnie dane pokazują, że zjawisko znów przybiera na sile. Ta historia to zaś kolejne przypomnienie, że „darmowy film” z internetu często ma ukrytą cenę. W tym przypadku może nią być utrata danych, przejęcie kont czy nawet wykorzystanie komputera w kolejnych atakach.