Un Agent Tesla escondido en la última película de Di Caprio

Los eventos deportivos y los grandes estrenos del año se suelen utilizar como gancho de phishing. Según una investigación publicada por Bitdefender, un torrent para descargar una versión pirata de la última película protagonizada por Leonardo Di Caprio, Una batalla tras otra, se ha utilizado para desplegar, una vez más, el troyano de acceso remoto Agent Tesla.

Los investigadores de la compañía habían detectado un “aumento de actividad sospechosa” relacionada con el enlace torrent de la película de Paul Thomas Anderson. “Al analizarlo, descubrieron un ataque de varias capas que utiliza scripts de PowerShell, cargas útiles ofuscadas y ejecución sin archivos para desplegar Agent Tesla”. Se trata de uno de los troyanos de acceso remoto (RAT) más conocidos.

Como señala Bitdefender, el paquete falso de la película pirateada “contiene archivos de subtítulos manipulados, archivos ocultos y una cadena de scripts, con la carga final ejecutándose completamente en memoria para evadir la detección”. El malware es capaz de proporcionar acceso total al sistema Windows de la víctima, con lo que permite el robo de credenciales y datos o la preparación para ataques posteriores.

En el blog en el que se detalla el funcionamiento de la campaña, Bitdefender considera “imposible estimar cuántas personas descargaron los archivos, aunque vimos que la supuesta película tenía miles de seeders y leechers […] En los últimos dos años, la cantidad de archivos torrent infectados que prometen las últimas series y películas se ha disparado. Es cada vez más evidente que los atacantes han descubierto un vector de ataque viable. Y parece que el Agente Tesla se está convirtiendo poco a poco en una de sus herramientas favoritas”.