Leonardo DiCaprio’nun “One Battle After Another” filmine yönelik sahte bir torrent dosyası, altyazı dosyaları içinde kötü amaçlı PowerShell yazılımları barındırıyor. Bu durum, cihazları Agent Tesla RAT zararlısı ile enfekte ediyor. Bitdefender araştırmacıları, bu durumu araştırırken filmin indirme sayılarında ani bir artış tespit etti.
Kötü Amaçlı Torrent Dosyaları ve Riskler
“One Battle After Another,” 26 Eylül 2025 tarihinde Paul Thomas Anderson tarafından yayımlanan ve Leonardo DiCaprio, Sean Penn ile Benicio Del Toro gibi ünlü isimleri barındıran yüksek puanlı bir film. Yeni film çıkışlarına karşı siber suçluların kötü amaçlı torrent yüklemesi yeni bir durum değil; ancak Bitdefender, bu olayın diğerlerinden farklı olarak karmaşık ve gizli bir enfeksiyon zincirine sahip olduğunu belirtiyor.
Henüz tam olarak kaç kişinin bu dosyayı indirdiği tahmin edilemiyor, ama film için binlerce toplayıcı (seeder) ve çekici (leecher) bulunduğu görüldü. Bu durum, birçok kullanıcının zararlı yazılımlarla enfekte olma riskini artırıyor.
Altyazılardan Malware Başlatma
Bu kötü amaçlı torrent dosyası, bir film dosyası (One Battle After Another.m2ts), iki resim dosyası (Photo.jpg, Cover.jpg), bir altyazı dosyası (Part2.subtitles.srt) ve görünüşte bir film başlatıcı olarak görünen bir kısayol dosyası (CD.lnk) içeriyor. Kısayol dosyası çalıştırıldığında, Windows komutlarını ve altyazı dosyası içindeki kötü amaçlı PowerShell scriptini çalıştırıyor. Bu script, altyazı dosyasının belirli satırları arasında gizlenmiştir.
Bu PowerShell scripti, altyazı dosyasından AES şifreli veri bloklarını çıkartarak beş PowerShell scripti oluşturuyor ve bunları kullanıcının bilgisayarındaki ‘C:Users
Adım Adım Enfeksiyon Süreci
Çıkarılan PowerShell scriptleri, ev sahibi cihazda şu eylemleri gerçekleştiriyor:
- 1. Aşama – One Battle After Another.m2ts dosyasını bir arşiv olarak çıkarır.
- 2. Aşama – RealtekCodec.bat’ı çalıştıran gizli bir zamanlayıcı görev (RealtekDiagnostics) oluşturur.
- 3. Aşama – Photo.jpg’den gömülü ikili verileri çözer ve geri yüklenmiş dosyaları Windows Ses Tanılama Önbelleği dizinine kaydeder.
- 4. Aşama – %LOCALAPPDATA%PackagesMicrosoft.WindowsSoundDiagnosticsCache dizinini oluşturur.
- 5. Aşama – Dışarıda bulunan Cover.jpg içeriğini önbellek dizinine çıkarır ve burada .bat dosyaları ve PowerShell scriptleri de bulunur.
Son aşamada çıkarılan dosyalar, Windows Defender’ın aktif olup olmadığını kontrol eder, Go’yu kurar ve nihai payload (AgentTesla) yükler.
Agent Tesla Zararlısı: Tehdit ve Etkileri
AgentTesla, 2014’ten beri devam eden bir Windows RAT ve bilgi hırsızı olup sıklıkla tarayıcı, e-posta, FTP ve VPN kimlik bilgilerini çalmak için kullanılır. Ekran görüntüleri de yakalayabilir. Yine de Agent Tesla, uzun süredir kullanıldığı için güvenilirliği ve kolay dağıtımı nedeniyle hâlâ popülerdir.
Bitdefender, başka film başlıklarında da, örneğin “Mission: Impossible – The Final Reckoning” gibi, farklı ailelerin kullanıldığını gözlemlemiştir.
Güvenli İnternet Kullanımı Önerileri
Anonymous yayıncılardan gelen torrent dosyaları genellikle kötü amaçlı yazılımlar içerir. Bu nedenle, kullanıcıların yeni filmleri tamamen yasadışı olarak indirmemeleri önerilmektedir. İnternet güvenliğini artırmak ve kötü amaçlı yazılımlardan korunmak için yasal içerik kaynaklarını tercih etmek en uygun seçenektir.
Unutmayın ki, filmler için resmi platformları kullanmak uzun vadede daha güvenli bir deneyim sunar ve cihazlarınızı zarar görmekten korur.
