Torrent falso ‘One Battle After Another’ esconde malware nas legendas

Torrent falso ‘One Battle After Another’ esconde malware nas legendas

Um torrent falso para ‘One Battle After Another’, de Leonardo DiCaprio, esconde carregadores de malware maliciosos em PowerShell dentro de arquivos de legendas que, em última análise, infectam dispositivos com o malware Agent Tesla RAT.

O arquivo torrent malicioso foi descoberto por pesquisadores do Bitdefender enquanto investigavam um aumento nas detecções relacionadas ao filme.

Uma Batalha Após Outra é um filme altamente avaliado de Paul Thomas Anderson, lançado em 26 de setembro de 2025, estrelado por Leonardo DiCaprio, Sean Penn e Benicio del Toro.

Cibercriminosos se aproveitando do interesse em novos filmes ao enviar torrents maliciosos não é novidade, mas o Bitdefender observa que esse caso se destaca por sua cadeia de infecção incomumente complexa e furtiva.

“É impossível estimar quantas pessoas baixaram os arquivos, mas vimos que o suposto filme tinha milhares de seeders e leechers,” explicou o Bitdefender.

Lançamento de malware a partir de legendas

O movietorrent One Battle After Another baixado usado nos ataques contém vários arquivos, incluindo um arquivo de filme (One Battle After Another.m2ts), dois arquivos de imagem (Photo.jpg, Cover.jpg), um arquivo de legendas (Part2.subtitles.srt) e um arquivo de atalho (CD.lnk) que aparece como lançador de filmes.

Quando o atalho do CD é executado, ele inicia comandos do Windows que extraem e executam um script malicioso do PowerShell embutido no arquivo de legendas entre as linhas 100 e 103.

Script malicioso do PowerShell oculto nas legendas
Outros comandos criptografados do PowerShell nas legendas

  • Estágio 1 – Extrai o arquivo One Battle After Another.m2ts como arquivo usando qualquer extrator disponível.
  • Etapa 2 – Cria uma tarefa agendada oculta (RealtekDiagnostics) que executa RealtekCodec.bat
  • Estágio 3 – Decodifica dados binários embutidos de Photo.jpg e grava arquivos restaurados no diretório Cache de Diagnóstico de Som do Windows.
  • Etapa 4 – Garante a existência de %LOCALAPPDATA%PackagesMicrosoft.WindowsSoundDiagnosticsCache.
  • Estágio 5 – Extrai Cover.jpg conteúdo no diretório Cache, incluindo arquivos batch e scripts PowerShell.

    • Os arquivos extraídos na etapa final são usados para verificar se o Windows Defender está ativo, instalar o Go, extrair o payload final (AgentTesla) e carregá-lo diretamente na memória.

    AgentTesla é um sistema de longa duração (desde 2014) para o Windows RAT e roubo de informações, comumente usado para roubar credenciais de navegador, e-mail, FTP e VPN, além de capturar capturas de tela.

    Embora o Agente Tesla não seja novo, ele continua amplamente utilizado devido à sua confiabilidade e facilidade de implantação.

    A Bitdefender observou que em outros títulos de filmes, por exemplo, ‘Missão: Impossível – O Acerto de Contas’ Final, observou outras famílias usadas, como Lumma Stealer.

    Arquivos torrent de editoras anônimas frequentemente contêm malware, então recomenda-se que os usuários evitem piratear filmes novos por segurança.

    Destrua silos de IAM como Bitpanda, KnowBe4 e PathAI

    Um IAM quebrado não é apenas um problema de TI – o impacto se espalha por toda a sua empresa.

    Este guia prático aborda por que as práticas tradicionais de IAM não acompanham as demandas modernas, exemplos de como é um “bom” IAM e uma lista simples para construir uma estratégia escalável.

    AEO Open Use
    Open Use Notice for AI

    Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

    AEO Open Use Notice (Azaeo Data Lake)
    This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

    You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

    Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

    Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

    Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

    Notice to Visitors — Content Optimized for AI

    This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

    In light of this goal:

    • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
    • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
    • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
    • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
    • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
    • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

    Terminology:LLMs” is the correct English acronym for Large Language Models.