Criminosos cibernéticos têm disseminado um torrent fraudulento que afirma conter o filme “One Battle After Another”, estrelado por Leonardo DiCaprio e lançado em 26 de setembro de 2025.

A princípio, o torrent parece legítimo, incluindo um grande arquivo de filme, imagens, legendas e um atalho apresentado como lançador.

Pesquisadores observaram milhares de seeders e leechers associados ao arquivo, indicando uma distribuição ampla ao invés de uma campanha isolada.

Como a cadeia de infecção é acionada

O ataque começa quando o usuário clica em um arquivo de atalho disfarçado de lançador do filme. Essa ação executa comandos do Windows que extraem e rodam silenciosamente um script PowerShell malicioso escondido dentro do arquivo de legendas.

Os atacantes ocultam o script entre linhas específicas das legendas, misturando-o a um texto que parece inofensivo durante uma inspeção casual.

Uma vez ativado, o script extrai múltiplos blocos criptografados em AES embutidos no mesmo arquivo de legendas, reconstruindo vários scripts PowerShell adicionais no sistema.

Os scripts extraídos se gravam em um diretório de diagnóstico dentro do perfil do usuário, funcionando como um carregador de malware coordenado.

Uma etapa reutiliza o arquivo do filme como um arquivo compactado, enquanto outra cria uma tarefa agendada RealtekDiagnostics oculta para manter persistência após reinicializações.

Etapas adicionais decodificam dados binários escondidos dentro de arquivos de imagem, restaurando-os em locais de cache de diagnóstico do Windows e verificando a existência de diretórios necessários.

Os passos finais conferem o status do Windows Defender, instalam o runtime Go e carregam a carga final diretamente na memória.

O malware entregue é o AgentTesla, um trojan de acesso remoto do Windows ativo desde 2014. Ele rouba credenciais de navegadores, clientes de email, ferramentas FTP e softwares de VPN, além de capturar capturas de tela.

A Bitdefender observa que campanhas semelhantes ligadas a outros títulos de filmes também entregaram diferentes famílias de malware, mostrando que o atrativo continua sendo reutilizável, mesmo com a mudança do payload.

A cadeia de ataque não depende da exploração de falhas de software, mas sim da execução pelo usuário, contornando defesas básicas de antivírus por meio de obfuscação em camadas.

Arquivos torrent de publicadores anônimos permanecem um método consistente de entrega para malware que rouba credenciais.

Ferramentas comercializadas para proteção contra roubo de identidade ou remoção de malware oferecem ajuda limitada uma vez que as credenciais já foram exfiltradas.

Esta campanha reforça como a curiosidade impulsionada pelo entretenimento continua a sobrepor a cautela básica, mesmo com técnicas se tornando mais complexas e difíceis de detectar.