Skaitmeninis piratavimas visada buvo rizikingas žaidimas, tačiau pastaroji kibernetinių nusikaltėlių kampanija pakėlė kartelę į visiškai naują lygį. Šį kartą pavojus slypi ne įtartiname „exe“ faile ar keistame diegimo lange, o ten, kur vartotojai mažiausiai tikisi – filmų subtitruose.
Kibernetinio saugumo bendrovės Bitdefender analitikai atskleidė itin rafinuotą ataką, kurioje pasitelkiamas tariamai naujas Leonardo DiCaprio filmas. Vietoj įprasto kenkėjiškos programos diegimo scenarijaus aukoms pateikiamas daugiasluoksnis „galvosūkis“, sukurtas taip profesionaliai, kad jis atrodo labiau kaip programavimo meno kūrinys nei nusikaltimas.
Nekaltas torentas, vedantis tiesiai į spąstus
Viskas prasideda visiškai įprastai. Vartotojas atsisiunčia populiaraus filmo torentą – daug sėklų, daug atsisiuntimų, jokio akivaizdaus pavojaus signalo. Išarchyvavus failus, aplanke randamas CD.lnk – nuoroda, kuri, kaip tikimasi, paleis filmą.
Tačiau filmas neprasideda.
Vienas paspaudimas suaktyvina sudėtingą komandų grandinę, paslėptą po užšifruotais duomenimis, „PowerShell“ scenarijais ir netikrais archyvais. Visa ataka remiasi teisėtais „Windows“ įrankiais – komandine eilute, „PowerShell“ ir užduočių planuokle. Tai reiškia, kad saugumo sistemos ilgą laiką nemato nieko įtartino.
Kaip subtitrai tampa kenkėjišku kodu
Pagrindinis šios atakos išskirtinumas – instrukcijos skaitomos iš… subtitrų failo. Failas Part2.subtitles.srt nėra paprastas tekstas. Tam tikrose eilutėse paslėptas paketinis kodas, kuris vėliau „PowerShell“ pagalba iššifruojamas ir paleidžiamas.
Procesas atrodo taip:
- nuoroda CD.lnk nuskaito kelias konkrečias subtitrų eilutes,
- jos paleidžia paslėptą „PowerShell“ procesą,
- kitas kodo sluoksnis ištraukiamas iš tūkstantųjų subtitrų eilučių,
- AES šifravimas atveria dar vieną scenarijų,
- galiausiai visa grandinė paruošia aplinką galutiniam užkrėtimui.
Svarbiausia detalė – nė viename etape nereikia papildomų atsisiuntimų iš interneto. Visa infekcija jau yra torento pakete. Tai uždara ekosistema, beveik nepaliekanti pėdsakų tinklo sraute.
Penki scenarijai – vienas tikslas
Iššifruotas kodas sukuria kelis „PowerShell“ scenarijus, kurių kiekvienas atlieka konkrečią užduotį: išpakuoja netikrus archyvus, sukuria užduočių planuoklės įrašą su nekaltai skambančiu pavadinimu, dekoduoja duomenis, paslėptus tariamose nuotraukose, ir galiausiai sujungia fragmentus į vieną vykdomą kodą.
Galutinis rezultatas – Agent Tesla įkėlimas tiesiai į operatyviąją atmintį. Tai viena geriausiai žinomų nuotolinės prieigos Trojos arklių, galinti perimti kompiuterio valdymą, vogti slaptažodžius, prisijungimo duomenis, finansinę informaciją ir naudoti užkrėstą sistemą tolesnėms atakoms.
Kodėl ši kampanija tokia pavojinga
„Agent Tesla“ saugumo tyrėjams nėra naujiena – jis jau buvo naudojamas suklastotose sąskaitose, netikrose registracijose ir el. pašto atakose. Tačiau toks sudėtingas, beveik be pėdsakų veikiantis diegimo mechanizmas rodo, kad nusikaltėliai investuoja vis daugiau laiko ir resursų.
Tik po visiško įdiegimo kenkėjiška programa bando prisijungti prie komandų ir valdymo serverių. Iki tol vartotojas dažnai net neįtaria, kad jo sistema jau kompromituota.
Piratiniai filmai – vis dažnesnis atakų vektorius
Tai ne pavienis atvejis. Anksčiau kibernetiniai nusikaltėliai jau naudojo populiarių filmų torentus kitoms kenkėjiškoms programoms platinti. Tendencija aiški: piratinis turinys tapo vienu efektyviausių būdų pasiekti masinę auditoriją.
Žmonės nori greitai ir nemokamai pamatyti naujus filmus. Jie tikisi prastos kokybės vaizdo, bet ne to, kad vienas paspaudimas aktyvuos sudėtingą ataką, galinčią perimti visą jų skaitmeninį gyvenimą.
Piratavimas visada buvo rizikingas. Tačiau šiandien didžiausias pavojus – ne prastas garsas ar netikras failas. Tai Trojos arklys, kuris gali įsikurti jūsų kompiuteryje dar prieš jums spėjant pamatyti pirmąją filmo sceną.
Šaltinis: https://spidersweb.pl/2025/12/wirusy-w-napisach-do-filmow.html
