Μια νέα, σοβαρή απάτη έχει κάνει την εμφάνισή της στο διαδίκτυο τις τελευταίες ημέρες, πλήττοντας τους φανατικούς του Χόλιγουντ, και ιδιαίτερα τους λάτρεις του Λεονάρντο Ντι Κάπριο. Οι κυβερνοεγκληματίες, εκμεταλλευόμενοι τη δημοτικότητα του βραβευμένου ηθοποιού, έχουν δημιουργήσει μια παραπλανητική προσφορά για δωρεάν προβολές μιας υποτιθέμενης νέας ταινίας, η οποία στην πραγματικότητα εγκαθιστά κακόβουλο λογισμικό στον υπολογιστή σας.
Η «ταινία» φέρει τον τίτλο «One Battle After Another», και, σύμφωνα με την περιγραφή του torrent, κυκλοφόρησε στις 26 Σεπτεμβρίου 2025. Ωστόσο, πίσω από την υποτιθέμενη ψυχαγωγία κρύβεται εξελιγμένο κακόβουλο λογισμικό, γνωστό ως AgentTesla, που έχει σχεδιαστεί για να υποκλέπτει ευαίσθητα προσωπικά δεδομένα με μια απίστευτη ακρίβεια.
Η μέθοδος δόλωσης και οι τεχνικές παραπλάνησης
Ερευνητές ασφάλειας έχουν εντοπίσει χιλιάδες χρήστες που συμμετείχαν στη διαδικασία διαμοιρασμού (seeders και leechers) του συγκεκριμένου αρχείου, γεγονός που αποδεικνύει τη διαδεδομένη φύση της απειλής. Ο φαινομενικά νόμιμος χαρακτήρας του torrent συνδυάζεται με «αθώα» αρχεία, συμπεριλαμβανομένων εικόνων, υποτίτλων και συντομεύσεων που φαίνονται εύκολες στην αναπαραγωγή της ταινίας.
Αυτή είναι ακριβώς η παγίδα. Οι χρήστες, συνηθισμένοι να ανοίγουν αρχεία τύπου «launcher» ή «readme» για να ξεκινήσουν μια ταινία ή να λάβουν οδηγίες, κάνουν κλικ στη συντόμευση. Αυτή η ενέργεια δεν ξεκινά έναν media player, αλλά ενεργοποιεί μια σειρά εντολών στο Windows, που εκτελούνται κρυφά στο παρασκήνιο.
Πώς λειτουργεί η επίθεση: Ένα σενάριο κατασκοπείας
Η προχωρημένη τεχνική της επίθεσης υποδεικνύει ότι οι επιτιθέμενοι έχουν επενδύσει χρόνο και πόρους στην απόκρυψη των ενεργειών τους.
- Απόκρυψη στους υπότιτλους: Όταν ο χρήστης εκτελεί τη συντόμευση, ενεργοποιείται ένα κακόβουλο σενάριο PowerShell. Ο εκπληκτικός αυτός κώδικας είναι κρυμμένος μέσα στο αρχείο υποτίτλων και οι χάκερ τον τοποθετούν ανάμεσα σε αθώες γραμμές, καθιστώντας τον αόρατο σε μια επιδερμική εξέταση.
- Δημιουργία κακόβουλων scripts: Το αρχικό σενάριο «διαβάζει» το αρχείο υποτίτλων και εξάγει κρυπτογραφημένα δεδομένα (AES-encrypted blocks). Η συναρμολόγηση αυτών των κομματιών οδηγεί στη δημιουργία πρόσθετων κακόβουλων scripts εντός του συστήματος του θύματος.
- Επιμονή και παραλλαγή: Για να εξασφαλιστεί η συνέχιση της λειτουργίας του κακόβουλου λογισμικού και μετά από επανεκκίνηση, δημιουργείται προγραμματισμένη εργασία με παραπλανητικό όνομα, όπως «RealtekDiagnostics», ώστε να φαίνεται νόμιμο.
- Αποκωδικοποίηση από εικόνες: Ο ιός αποκωδικοποιεί κρυφά δυαδικά δεδομένα που είναι ενσωματωμένα σε αρχεία εικόνας που συνοδεύουν το torrent, χρησιμοποιώντας τεχνικές steganography.
Ο τελικός στόχος είναι η εγκατάσταση του AgentTesla, ενός Trojan απομακρυσμένης πρόσβασης (RAT), που δραστηριοποιείται από το 2014 και έχει εξελιχθεί σε ένα από τα πιο επικίνδυνα εργαλεία υποκλοπής στον κυβερνοχώρο.
Ο κίνδυνος για τους χρήστες: Τι θέτει σε κίνδυνο το AgentTesla
Με την εγκατάσταση του AgentTesla, ο υπολογιστής του χρήστη μετατρέπεται σε «ανοιχτό βιβλίο» για τους επιτιθέμενους. Το λογισμικό είναι ικανό να:
- Υποκλέπτει κωδικούς πρόσβασης από δημοφιλείς browsers (Chrome, Firefox, Edge κ.λπ.).
- Αντλεί δεδομένα από προγράμματα ηλεκτρονικού ταχυδρομείου (όπως το Outlook).
- Κλέβει στοιχεία σύνδεσης από εφαρμογές FTP και VPN.
- Καταγράφει την οθόνη (screenshots), παρέχοντας στους χάκερ οπτική πρόσβαση σε ό,τι κάνει ο χρήστης.
Η επίθεση δεν εκμεταλλεύεται κάποιο κενό ασφαλείας των Windows, αλλά βασίζεται αποκλειστικά στην κοινωνική μηχανική (social engineering). Εκμεταλλεύεται την περιέργεια και την επιθυμία του χρήστη να δει μια νέα ταινία δωρεάν, καθιστώντας τα παραδοσιακά antivirus λιγότερο αποτελεσματικά, καθώς ο χρήστης είναι αυτός που δίνει την «άδεια» για την εκτέλεση του κακόβουλου κώδικα.
Γιατί τα torrents παραμένουν η «Αχίλλειος Πτέρνα»
Παρά την επιτυχία των νόμιμων υπηρεσιών streaming, τα torrents παραμένουν ένα από τα πιο επικίνδυνα μέρη στο διαδίκτυο. Οι ερευνητές της Bitdefender αναφέρουν ότι παρόμοιες απάτες έχουν εμφανιστεί και στο παρελθόν με άλλους τίτλους ταινιών. Το δόλωμα μπορεί να αλλάζει, όμως ο μηχανισμός παραμένει ο ίδιος.
Το γεγονός ότι το αρχείο έχει χιλιάδες διαμοιραστές (seeders) δεν είναι απόδειξη ότι είναι ασφαλές. Συχνά, οι υπολογιστές αυτών των χρηστών είναι ήδη μολυσμένοι και λειτουργούν ως κόμβοι σε ένα botnet που προάγει την απειλή.
Πώς να προστατευτείτε
Η πιο ασφαλής συμβουλή είναι να αποφεύγετε τη λήψη περιεχομένου από αμφιλεγόμενες πηγές και torrent sites. Ωστόσο, για εκείνους που επιμένουν, η προσοχή στις λεπτομέρειες είναι ζωτικής σημασίας:
- Ελέγξτε τις επεκτάσεις αρχείων: Ένα αρχείο ταινίας πρέπει να έχει κατάληξη .mkv, .mp4 ή .avi. Αν βλέπετε αρχεία .lnk, .exe ή .vbs στον φάκελο της ταινίας, διαγράψτε τα αμέσως.
- Αποφύγετε τις «συντομεύσεις»: Ποτέ μην κάνετε κλικ σε αρχεία που ισχυρίζονται ότι θα «ξεκινήσουν» την ταινία.
- Ενεργοποιήστε την εμφάνιση επεκτάσεων: Στα Windows, ρυθμίστε τον φάκελο ώστε να βλέπετε τις πλήρεις καταλήξεις, για να αποφύγετε τυχόν απατών (π.χ. movie.mp4.exe).
Η περίπτωση του «One Battle After Another» είναι μια προειδοποίηση πως στον ψηφιακό κόσμο, η περιέργεια μπορεί να κοστίσει πολύ περισσότερα από ένα εισιτήριο κινηματογράφου ή μια συνδρομή σε υπηρεσία streaming.
Related Posts
Κινέζοι χάκερ που εκμεταλλεύονται την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα του WSUS για να αναπτύξουν κακόβουλο λογισμικό ShadowPad
Το ψεύτικο torrent «One Battle After Another» κρύβει κακόβουλο λογισμικό στους υπότιτλους
Το Windows PowerShell προειδοποιεί τώρα όταν εκτελούνται σενάρια Invoke-WebRequest
