Sous-titres de la tromperie : comment un torrent de film à succès est devenu un piège cybercriminel

L’attrait d’un blockbuster gratuit peut être difficile à ignorer, mais pour des milliers de spectateurs potentiels, télécharger une copie piratée de « Bataille après bataille » a pu conduire à une bataille inattendue - et invisible - contre des cybercriminels. Dans une opération sophistiquée révélée par les chercheurs de Bitdefender, des hackers ont dissimulé du code malveillant dans un fichier de sous-titres, lançant une attaque en plusieurs étapes qui finit par installer le tristement célèbre cheval de Troie d’accès à distance (RAT) Agent Tesla sur les ordinateurs des victimes. Ce n’est pas une simple soirée cinéma qui tourne mal ; c’est un avertissement sur la manière dont les malwares modernes se cachent à la vue de tous.

La nouvelle arme du piratage : subtile, furtive et sophistiquée

Si les torrents de films piratés sont depuis longtemps un terrain de jeu pour les malwares, cette dernière campagne se distingue par son ingéniosité technique. Le torrent « Bataille après bataille », diffusé peu après la sortie du film, semblait légitime avec un fichier vidéo, des images et des sous-titres. Mais caché dans le fichier de sous-titres - entre des lignes apparemment anodines - se trouvait un script PowerShell intégré.

Lorsque les utilisateurs cliquaient sur le raccourci fourni (CD.lnk) pour lancer le film, ils déclenchaient sans le savoir une réaction en chaîne. Le raccourci exécutait une commande Windows qui extrayait le script malveillant du fichier de sous-titres. Ce script décompressait alors plusieurs charges utiles chiffrées, reconstituant cinq scripts PowerShell distincts, chacun déposé dans un dossier caché de diagnostics. La chaîne d’infection était méticuleuse : elle décompressait des fichiers, mettait en place une tâche planifiée pour assurer la persistance, et décodait d’autres données intégrées dans les fichiers image inclus. La charge finale - Agent Tesla - était injectée directement dans la mémoire de l’ordinateur, rendant sa détection et sa suppression plus difficiles.

Agent Tesla, vétéran du monde des malwares voleurs d’informations, est conçu pour récolter les identifiants de navigateurs, emails, FTP et VPN, et peut même capturer des captures d’écran. Sa popularité persistante auprès des cybercriminels témoigne de sa fiabilité et de son efficacité. Les découvertes de Bitdefender suggèrent que la technique se répand, avec des variantes observées dans des torrents d’autres films à succès.

La complexité de cette opération montre à quel point les cybercriminels évoluent, combinant ingénierie sociale et camouflage technique pour maximiser les infections. L’utilisation de fichiers de sous-titres - un format auquel la plupart des utilisateurs font confiance - démontre leur volonté d’exploiter tous les vecteurs possibles.

Conclusion : le vrai prix du piratage

Pour les cinéphiles, la tentation d’une sortie gratuite et anticipée a un coût caché. À mesure que les cybercriminels perfectionnent leurs méthodes, même un simple fichier de sous-titres peut devenir une arme. La meilleure défense ? Évitez le contenu piraté, maintenez vos systèmes à jour, et souvenez-vous : dans le paysage actuel des menaces, chaque téléchargement est un pari risqué.

Glossaire WIKICROOK

PowerShell

Un puissant shell en ligne de commande et langage de script pour Windows, souvent détourné par les attaquants pour automatiser des tâches ou exécuter du code malveillant.

Agent Tesla

Un cheval de Troie d’accès à distance (RAT) et voleur d’informations bien connu ciblant les systèmes Windows, actif depuis 2014.

RAT (Remote Access Trojan)

Malware permettant aux attaquants de contrôler à distance un ordinateur infecté, souvent utilisé pour l’espionnage ou le vol de données.

Seeders/Leechers

Termes utilisés dans le partage de fichiers pour désigner les utilisateurs qui envoient (seeders) ou téléchargent (leechers) un fichier sur un réseau pair-à-pair.

Tâche planifiée

Fonctionnalité Windows permettant à des programmes ou scripts de s’exécuter automatiquement à des moments ou événements définis - souvent détournée par les malwares pour assurer leur persistance.