人気映画のトレントファイルの字幕にマルウェアが仕込まれる

トレントを通じてダウンロードできる映画の字幕ファイルに、悪質なコマンドを実行するマルウェアがひそかに仕込まれていたことが分かりました。

Fake Leonardo DiCaprio Movie Torrent Drops Agent Tesla Through Layered PowerShell Chain
https://www.bitdefender.com/en-us/blog/labs/fake-leonardo-dicaprio-movie-torrent-agent-tesla-powershell

Fake ‘One Battle After Another’ torrent hides malware in subtitles
https://www.bleepingcomputer.com/news/security/fake-one-battle-after-another-torrent-hides-malware-in-subtitles/

アンチウイルスソフトウェアを開発するBitdefenderによると、近頃「ワン・バトル・アフター・アナザー」というレオナルド・ディカプリオ主演の映画と思われるトレントファイルからのマルウェア検出数が急増したとのこと。この映画は2025年9月の公開で、新作映画を違法ダウンロードしようとするユーザーが見事にマルウェアに引っかかってしまったようです。

問題のトレントファイルには、動画ファイルと2つの画像ファイル、字幕ファイル、ランチャーとして起動するショートカットファイルなどさまざまなファイルが含まれていました。

ユーザーがショートカットファイルを起動すると、字幕ファイルの中に埋め込まれた悪意あるスクリプトがcmd.exeとpowershell.exeを使って勝手に実行されます。字幕ファイルには本物の字幕も含まれていますが、字幕の合間に暗号化されたコードが巧妙に隠されていました。

最初のスクリプトが実行されるとコードが復号され、いくつかの処理を経て「RealtekDriverInstall.ps1」と呼ばれるスクリプトが実行されます。これは、Windows Defenderが有効かどうかを確認し、Goプログラミング言語のインストールを試み、RealtekAudioServiceをコンパイルする既存のスケジュールタスクを利用して永続化を構成するもの。すべての準備が整うと次のスクリプトが実行され、リモートからコンピュータにアクセスして金銭情報や個人情報を盗んだり、デバイスを利用してさらなる攻撃を開始したりできるようになります。

この手のマルウェアは、メモリ常駐型のコマンドアンドコントロールエージェントとして機能する「Agent Tesla」という名のトロイの木馬だとBitdefenderは伝えています。

問題のファイルのやりとりには数千人が関与したものとみられています。新作映画への関心に乗じて悪質なファイルを公開する犯罪者は目新しいものではありませんが、Bitdefenderは今回のケースが「異常に複雑でステルス性の高い感染チェーンが際立っている」と指摘しました。