Piratske verzije filma “Mission: Impossible – The Final Reckoning” kriju opasan malver

Vesti, 26.05.2025, 13:00 PM

Film “Mission: Impossible - The Final Reckoning” je tek stigao u bioskope, a već su se pojavile piratske verzije filma na torrent sajtovima. Iako je ovakav način preuzimanja filmova nezakonit, mnogi to i dalje rade, što sajber kriminalcima otvara prostor za širenje malvera. Upravo zato što takvi sajtovi često nude prave filmove i serije, napadači mogu lako da podmetnu malver iza popularnog naslova koji svi žele da pogledaju.

Istraživači Bitfdefender-a upozoravaju da kriminalci koriste veliko interesovanje publike za pomenuti film za širenje malvera Lumma stealer. Korisnici veruju da preuzimaju film, dok zapravo instaliraju malver koji krade lične podatke - lozinke, kolačiće, kripto novčanike, podatke za prijavu za RDP alate i još mnogo toga.

Napadači koriste trikove da sakriju pravi sadržaj: fajl koji korisnik preuzme često izgleda kao video (npr. .mkv.lnk), ali u ovom slučaju koristi se ekstenzija .arj. ARJ je format arhive koji je star više od 30 godina i danas se retko koristi. Zbog toga većina korisnika neće ni primetiti da je u pitanju nešto sumnjivo.

U ovoj kampanji se koristi lažni fajl Mission.Impossible.The.Final.Reckoning.2025.1080p.WEB-DL.DDP5.1.x265-NeoNoir.arj. Unutar arhive nalazi se izvršni fajl koji pokreće lanac instalacije malvera.

Kada korisnik pokrene fajl:

• Aktivira se skripta koja proverava da li je prisutan antivirus (npr. Sophos, Avast).

• Ako jeste, uvodi se namerno odlaganje kako bi se izbegla detekcija.

• Kreira privremeni direktorijum i koristi ugrađene alate poput extrac32 da izvuče maliciozni sadržaj iz drugih fajlova.

• Spaja se više delova u jedan AutoIt izvršni fajl koji se potom pokreće (AutoIt je je inače legitiman alat koji se koristi za automatizaciju u Windows okruženju, pa ga napadači zloupotrebljavaju jer često prolazi ispod radara bezbednosnih sistema, deluje legitimno i pojednostavljuje distribuciju malvera).

• Na kraju, koristi se RC4 enkripcija i shellcode kako bi se aktivirao Lumma stealer.

Lumma stealer je trenutno jedan od popularnijih malvera ove vrste, koji je lako dostupan svima preko Darkneta. U ovom slučaju reč je o verovatno najnovijoj verziji. Malver je veoma opasan jer može da:

• Krade podatke iz veb pregledača i aplikacija.

• Prikuplja podatke iz popularnih kripto novčanika (MetaMask, Binance...).

• Ostaje aktivan i posle restarta računara.

• Prenosi podatke ka komandnim serverima koristeći enkripciju.

• Koristi tehnike koje otežavaju njegovo otkrivanje.

Lumma stealer nije vezan samo za filmove koji se preuzimaju sa sumnjivih sajtova. Malver se može naći i u lažnim verzijama igrica, krekovanim programima i drugim piratskim sadržajima.

Ako nešto deluje predobro da bi bilo legalno - verovatno nije. I pre nego što kliknete na “download”, razmislite da li vredi rizikovati sve podatke na svom računaru zbog jednog filma.

Dobra vest je da su međunarodne bezbednosne službe počele sa gašenjem infrastrukture koja stoji iza Lumma stealer malvera, što je značajno umanjilo njegovu rasprostranjenost - bar trenutno. Ipak, korisnici moraju znati da ovaj malver nije jedini, i da se slične taktike koriste za širenje i drugih opasnih malvera putem torrenta.

Foto: Denise Jans | Unsplash