Aanvallers verbergen malafide PowerShell-scripts in ondertitelingsbestand film

In dit artikel:

Antivirusbedrijf Bitdefender ontdekte dat kwaadwillenden malafide PowerShell-code verborgen hadden in het ondertitelingsbestand van een torrent die zich voordeed als de film One Battle After Another. Het torrent-pack bevatte onder meer een .m2ts-videobestand, twee afbeeldingen, een ondertitelingsbestand Part2.subtitles.srt en een LNK-launcher; zodra het LNK-bestand werd geopend leest en draait het de PowerShell-opdracht uit de .srt. In datzelfde ondertitelingsbestand zaten meerdere datablokken die door het commando werden samengevoegd tot extra PowerShell-scripts die uiteindelijk de remote access trojan Agent Tesla installeren.

Agent Tesla geeft aanvallers volledige toegang tot het geïnfecteerde systeem en kan inloggegevens en bestanden stelen of verdere aanvallen uitvoeren. Bitdefender stelt dat deze methode vooral gericht lijkt op onervaren torrent-gebruikers; de malafide torrent had volgens hen duizenden seeders en leechers. Gebruikstersadvies: open geen onbekende LNK-bestanden, wees terughoudend met illegale downloads en houd antivirussoftware up-to-date.