Pesquisadores da Bitdefender identificaram um torrent falso do filme "One Battle After Another", estrelado por Leonardo DiCaprio, que esconde loaders maliciosos em PowerShell dentro dos arquivos de legenda.
Essas ameaças infectam os dispositivos com o malware Agent Tesla RAT.
A descoberta ocorreu durante uma investigação sobre o aumento repentino de detecções relacionadas ao filme, lançado em 26 de setembro de 2025 e dirigido por Paul Thomas Anderson, com elenco que inclui Sean Penn e Benicio del Toro.
Embora não seja novidade que cibercriminosos exploram o interesse em lançamentos de filmes para distribuir torrents maliciosos, a Bitdefender destaca que esse ataque se diferencia pela cadeia de infecção complexa e discreta.
“Nós não conseguimos estimar quantas pessoas baixaram os arquivos, mas observamos que o torrent tinha milhares de seeders e leechers”, afirmou a empresa.
O torrent malicioso contém diversos arquivos: o principal do filme (“One Battle After Another.m2ts”), duas imagens (“Photo.jpg” e “Cover.jpg”), um arquivo de legendas (“Part2.subtitles.srt”) e um atalho (“CD.lnk”) que funciona como um suposto lançador do filme.
Ao executar o atalho CD, comandos do Windows acionam um script PowerShell malicioso incorporado no arquivo de legendas, entre as linhas 100 e 103.
Esse script, por sua vez, extrai blocos de dados cifrados com AES do mesmo arquivo para reconstruir cinco scripts PowerShell armazenados no diretório “C:\Users\<USER>\AppData\Local\Microsoft\Diagnostics”.
Os scripts têm múltiplas funções, entre elas:
- Extrair o arquivo do filme como um arquivo compactado;
- Criar uma tarefa agendada oculta (“RealtekDiagnostics”) para rodar um script batch (“RealtekCodec.bat”);
- Decodificar dados binários embutidos em “Photo.jpg” e salvar os arquivos restaurados no Cache de Diagnóstico de Som do Windows;
- Garantir que a pasta de cache exista em “%LOCALAPPDATA%\Packages\Microsoft.WindowsSoundDiagnostics\Cache”;
- Extrair o conteúdo de “Cover.jpg” para essa pasta, incluindo arquivos batch e scripts PowerShell.
Esses arquivos complementares verificam se o Windows Defender está ativo, instalam a linguagem Go, extraem o payload final — o malware Agent Tesla — e o carregam diretamente na memória do sistema.
O Agent Tesla é um RAT (Remote Access Trojan) e info-stealer presente desde 2014.
Ele é amplamente utilizado para roubar credenciais de navegadores, e-mails, FTP e serviços VPN, além de capturar screenshots do usuário.
Mesmo não sendo novidade, o Agent Tesla continua em uso devido à sua eficácia e facilidade de implantação.
Em outras campanhas envolvendo torrents de filmes, como “Mission: Impossible – The Final Reckoning”, a Bitdefender detectou diferentes famílias de malware, como o Lumma Stealer.
Como torrents de fontes anônimas frequentemente carregam malware, a recomendação é evitar o download de filmes piratas para garantir a segurança digital.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...