Descargas ilegales de películas, especialmente las de DiCaprio y otros estrenos, contienen malware oculto en los subtítulos; aunque los archivos de texto no suelen ser peligrosos, se ha descubierto un sofisticado malware que explota esta vulnerabilidad.
En teoría un fichero de texto no puede contener virus, pero un sofisticado malware ha encontrado la forma. Está en los últimos estrenos de cine pirata.
Mucho contenido pirateado, desde películas a música o videojuegos, contiene malware. Lo que ya no es tan normal es que un virus use un fichero de texto, los subtítulos de la película pirata Una batalla tras otra, distribuida en Torrent, para burlar al antivirus e instalarse. Es un sistema muy sofisticado y curioso, que merece la pena conocer.
Las alarmas saltaron cuando investigadores de BitDefender descubrieron que muchos usuarios se estaban infectando con un torrent de la última película de Leonardo DiCaprio, One Battle After Another (Una batalla tras otra), dirigida por Paul Thomas Anderson, en donde también aparecen Sean Penn y Benicio del Toro.
Este torrent oculta cargadores de malware PowerShell maliciosos dentro de los archivos de subtítulos que, en última instancia, infectan los dispositivos con el malware AgentTesla RAT. Vamos a ver cómo funciona.
El malware que se cuela desde un archivo de subtítulos
Los archivos de una película son solo texto plano, así que no pueden contener virus… ¿O tal vez sí? Lo cierto es que hay un truco muy inteligente.
Según cuenta BleepingComputer, el torrent descargado de la película Una batalla tras otra contiene varios archivos, entre ellos un archivo con la película, dos archivos de imagen (Photo.jpg, Cover.jpg), un archivo de subtítulos (Part2.subtitles.srt) y un archivo de acceso directo (CD.lnk) que aparece como un lanzador de películas, si se almacena en un disco físico.
Cuando se ejecuta el acceso directo del CD, se inician comandos de Windows que extraen y ejecutan un script malicioso de PowerShell incrustado en el archivo de subtítulos entre las líneas 100 y 103. Puedes verlo aquí:
A continuación, este script de PowerShell extraerá varios bloques de datos cifrados con AES del archivo de subtítulos para reconstruir cinco scripts de PowerShell que se guardan en C:\Users\\AppData\Local\Microsoft\Diagnostics.
Con estos scripts, se reconstruye el malware AgentTesla, un viejo conocido que lleva activo desde 2014. AgentTesla roba cuentas y credenciales de navegadores, correos electrónicos, FTP y VPN, y también realiza capturas de pantalla.
BitDefender también ha detectado un malware similar, Lumma Stealer,en el torrent pirata de la última película de Misión Imposible.
Descargar contenido pirateado siempre es un riesgo, y aquí tenemos un buen ejemplo.
Fuentes:
https://computerhoy.20minutos.es/ciberseguridad/cuidado-con-que-descargas-ultima-dicaprio-otras-peliculas-piratas-por-torrent-tienen-malware-los-subtitulos_6910085_0.html
No hay comentarios:
Publicar un comentario