Falso archivo torrent oculta malware en los subtítulos

Iniciado por AXCESS, Diciembre 14, 2025, 03:32:36 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 14, 2025, 03:32:36 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un torrent falso de la película "One Battle After Another" de Leonardo DiCaprio oculta cargadores de malware maliciosos de PowerShell dentro de los archivos de subtítulos, que finalmente infectan los dispositivos con el malware Agent Tesla RAT.

El archivo torrent malicioso fue descubierto por investigadores de Bitdefender mientras investigaban un aumento en las detecciones relacionadas con la película.

"One Battle After Another" es una película de Paul Thomas Anderson muy bien valorada, estrenada el 26 de septiembre de 2025, protagonizada por Leonardo DiCaprio, Sean Penn y Benicio del Toro.

Que los ciberdelincuentes se aprovechen del interés que generan las nuevas películas subiendo torrents maliciosos no es nada nuevo, pero Bitdefender señala que este caso destaca por su cadena de infección inusualmente compleja y sigilosa.

"Es imposible estimar cuántas personas descargaron los archivos, pero vimos que la supuesta película tenía miles de usuarios compartiendo y descargando el archivo", explicó Bitdefender.

Ejecución de malware desde los subtítulos

El torrent de la película "One Battle After Another" descargado en los ataques contiene varios archivos, incluyendo un archivo de película (One Battle After Another.m2ts), dos archivos de imagen (Photo.jpg, Cover.jpg), un archivo de subtítulos (Part2.subtitles.srt) y un archivo de acceso directo (CD.lnk) que aparece como un lanzador de películas.

Cuando se ejecuta el acceso directo CD, se inician comandos de Windows que extraen y ejecutan un script de PowerShell malicioso incrustado en el archivo de subtítulos entre las líneas 100 y 103.

Script malicioso de PowerShell oculto en los subtítulos


Este script de PowerShell extraerá posteriormente numerosos bloques de datos cifrados con AES del archivo de subtítulos para reconstruir cinco scripts de PowerShell que se guardarán en 'C:\Users\<USER>\AppData\Local\Microsoft\Diagnostics'.

Otros comandos de PowerShell cifrados en los subtítulos


Los scripts de PowerShell extraídos actúan como un programa de descarga de malware, realizando las siguientes acciones en el sistema:

Etapa 1: Extrae el archivo One Battle After Another.m2ts como un archivo comprimido utilizando cualquier extractor disponible.
 
Etapa 2: Crea una tarea programada oculta (RealtekDiagnostics) que ejecuta RealtekCodec.bat.

Etapa 3: Descifra los datos binarios incrustados en Photo.jpg y escribe los archivos restaurados en el directorio de caché de diagnóstico de sonido de Windows.

Etapa 4: Se asegura de que exista la carpeta %LOCALAPPDATA%\Packages\Microsoft.WindowsSoundDiagnostics\Cache.

Etapa 5: Extrae el contenido de Cover.jpg en el directorio de caché, incluyendo archivos por lotes y scripts de PowerShell.

Los archivos extraídos en la etapa final se utilizan para comprobar si Windows Defender está activo, instalar Go, extraer la carga útil final (AgentTesla) y cargarla directamente en la memoria.

AgentTesla es un troyano de acceso remoto (RAT) y ladrón de información para Windows (stealer), activo desde 2014, que se utiliza comúnmente para robar credenciales de navegadores, correo electrónico, FTP y VPN, así como para capturar capturas de pantalla.

Aunque Agent Tesla no es nuevo, sigue siendo muy utilizado debido a su fiabilidad y facilidad de implementación.

Bitdefender ha observado que, en otros títulos de películas, por ejemplo, "Mission: Impossible – The Final Reckoning", se han utilizado otras familias de malware, como Lumma Stealer.

Los archivos torrent de distribuidores anónimos suelen contener malware, por lo que se recomienda a los usuarios evitar la piratería de películas nuevas por completo para su seguridad.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario