偽映画トレントが字幕ファイルにマルウェアを隠蔽:Agent Tesla RATを拡散
人気の新作映画の海賊版トレントファイルに、悪意あるPowerShellマルウェアローダーが字幕ファイル内に巧妙に隠され、最終的にAgent Tesla RATをデバイスに感染させていたことが判明しました。この悪質なトレントファイルは、映画「One Battle After Another」に関連する検出数の急増を調査していたBitdefenderの研究者によって発見されました。Leonardo DiCaprio主演のこの映画は、2025年9月26日に公開されたばかりであり、サイバー犯罪者が新作映画への関心を利用して悪質なトレントをアップロードすることは珍しくありませんが、Bitdefenderはこのケースがその異常に複雑でステルス性の高い感染経路で際立っていると指摘しています。
巧妙な手口:字幕ファイルに潜む悪意あるPowerShellスクリプト
攻撃で使用された「One Battle After Another」の偽トレントファイルには、映画ファイル(One Battle After Another.m2ts)、2つの画像ファイル(Photo.jpg、Cover.jpg)、字幕ファイル(Part2.subtitles.srt)、そして映画ランチャーに見せかけたショートカットファイル(CD.lnk)が含まれていました。ユーザーがCD.lnkショートカットを実行すると、悪質なWindowsコマンドが起動され、字幕ファイル内の100行目から103行目の間に埋め込まれた悪意あるPowerShellスクリプトが抽出・実行されます。
Agent Tesla RAT感染に至る多段階の攻撃チェーン
この初期のPowerShellスクリプトは、再び字幕ファイルから多数のAES暗号化されたデータブロックを抽出し、5つのPowerShellスクリプトを再構築します。これらは「C:\Users\
- ステージ1: 「One Battle After Another.m2ts」ファイルを、利用可能な任意の抽出ツールを使用してアーカイブとして抽出します。
- ステージ2: 「RealtekCodec.bat」を実行する隠しタスク(RealtekDiagnostics)をスケジュールします。
- ステージ3: 「Photo.jpg」から埋め込まれたバイナリデータをデコードし、復元されたファイルをWindows Sound Diagnostics Cacheディレクトリに書き込みます。
- ステージ4: 「%LOCALAPPDATA%\Packages\Microsoft.WindowsSoundDiagnostics\Cache」が存在することを確認します。
- ステージ5: 「Cover.jpg」の内容をキャッシュディレクトリに抽出し、これにはバッチファイルとPowerShellスクリプトが含まれます。
最終ステージで抽出されるファイルは、Windows Defenderがアクティブであるかを確認し、Goをインストールし、最終的なペイロードであるAgent Teslaを抽出し、直接メモリにロードするために使用されます。
狙われる情報:Agent Tesla RATの脅威
Agent Teslaは、2014年から活動している歴史の長いWindows向けRAT(リモートアクセス型トロイの木馬)であり、情報窃取マルウェアです。これは一般的に、ブラウザ、電子メール、FTP、VPNの資格情報を盗み出し、スクリーンショットをキャプチャするために使用されます。Agent Teslaは新しいマルウェアではありませんが、その信頼性と展開の容易さから広く使用され続けています。Bitdefenderは、「ミッション:インポッシブル – ザ・ファイナル・レコニング」のような他の映画タイトルでは、Lumma Stealerのような別のマルウェアファミリーが確認されているとも述べています。
セキュリティ専門家からの警告と対策
匿名発行者からのトレントファイルにはマルウェアが含まれていることが多いため、ユーザーは安全のために新作映画の海賊版利用を完全に避けることが推奨されます。信頼できないソースからのファイルをダウンロードする際は、常に警戒し、セキュリティソフトウェアを最新の状態に保つことが重要です。