Ein gefälschter Torrent für Leonardo DiCaprios Film „One Battle After Another” versteckt eine bösartige Malware in den Untertiteldateien.
Die bösartige Torrent-Datei haben Bitdefender-Forscher entdeckt, als sie einen Anstieg der Erkennungen im Zusammenhang mit dem Film untersuchten. „One Battle After Another“ ist ein hochgelobter Film von Paul Thomas Anderson, der gar nicht mehr so neu ist. Er erschien am 26. September 2025. Leonardo DiCaprio, Sean Penn und Benicio del Toro spielen darin die Hauptrollen.
Dass Cyberkriminelle das Interesse an neuen Filmen ausnutzen, indem sie bösartige Torrents verbreiten, ist an sich nichts Neues. Bitdefender weist darauf hin, dass dieser Fall aufgrund seiner ungewöhnlich komplexen und heimlichen Infektionskette deutlich aus dem Rahmen fällt.
Torrent-Datei hatte Tausende Seeder und Leecher
„Es ist unmöglich zu schätzen, wie viele Menschen die Dateien heruntergeladen haben. Aber wir haben gesehen, dass der vermeintliche Film Tausende von Seedern und Leechern hatte”, erklärten die Sicherheitsforscher auf ihrem Blog.
Der Torrent des Films „One Battle After Another“, den man für die Angriffe verwendet, enthält nach dem Download verschiedene Dateien, darunter eine Filmdatei (One Battle After Another.m2ts), zwei Bilddateien (Photo.jpg, Cover.jpg), eine Untertiteldatei (Part2.subtitles.srt) und eine Verknüpfungsdatei (CD.lnk), die als Film-Launcher erscheint. Für die Nutzer soll es so aussehen, als wenn man dieses Programm starten muss, um sich den Film anzuschauen. Wenn die CD-Verknüpfung ausgeführt wird, startet sie Windows-Befehle, die ein bösartiges PowerShell-Skript extrahieren und ausführen, das in der Untertiteldatei zwischen den Zeilen 100 und 103 eingebettet ist.
„One Battle After Another“ versteckt das Skript in den Untertiteln
Dieses PowerShell-Skript extrahiert dann erneut zahlreiche AES-verschlüsselte Datenblöcke aus der Untertiteldatei, um fünf PowerShell-Skripte zu rekonstruieren, die unter „C:\Users\\AppData\Local\Microsoft\Diagnostics” abgelegt werden. Danach wird eine Kette von Ereignissen angestoßen, die dazu dient, den PC zu übernehmen. Die in der letzten Stufe extrahierten Dateien verwendet man, um zu überprüfen, ob der Windows Defender aktiv ist. Dann installiert man Go, extrahiert mit AgentTesla die endgültige Nutzlast, um sie direkt in den Speicher des Computers zu laden.
Schadsoftware AgentTesla ist schon seit 11 Jahren im Einsatz
AgentTesla ist ein seit dem Jahr 2014 bestehender Windows-RAT und Informationsdieb, der häufig zum Stehlen von Browser-, E-Mail-, FTP- und VPN-Anmeldedaten sowie zum Erstellen von Screenshots verwendet wird. Die Malware ist zwar nicht neu. Sie wird aber aufgrund ihrer Zuverlässigkeit und einfachen Implementierung nach wie vor häufig eingesetzt. Bitdefender stellte zudem fest, dass in anderen Filmtiteln, beispielsweise „Mission: Impossible – The Final Reckoning“, andere Malware-Familien wie der Lumma Stealer im Einsatz ist. Und auch dieser Film wird nur die Spitze des Eisberges sein.
Torrent-Dateien sind für Cyberkriminelle geradezu ideal. Man kann sie anonym erstellen und verbreiten. Aus Sicherheitsgründen sollte man deswegen auf den Transfer aktueller Werke besser verzichten. Eigentlich hätten die Downloader skeptisch werden müssen, dass eine ausführbare Datei im Archiv enthalten ist. Die ist für das Abspielen des Films gar nicht nötig. Weil es deutlich weniger auffällig ist, verbergen Cyberkriminelle ihre Schadsoftware bevorzugt in Spielen für PCs oder alternativ für Spielkonsolen.
