Aanvallers hebben malafide PowerShell-scripts die malware op computers downloaden verborgen in het ondertitelingsbestand van een film, zo laat antivirusbedrijf Bitdefender weten. De virusbestrijder stelt dat het een toename van het aantal detecties waarnam met betrekking tot een torrent-bestand van de film One Battle After Another. Verder onderzoek wees uit dat het torrent-bestand geen film bevatte, maar malware.

Het torrent-bestand bestaat uit verschillende bestanden, waaronder een bestand eindigend op .m2ts, twee afbeeldingen, een ondertitelingsbestand genaamd Part2.subtitles.srt en een LNK-bestand. Daarbij lijkt het LNK-bestand een launcher voor de film te zijn. Het .srt-bestand bevat tussen de echte ondertitels van de film ook een PowerShell-commando. Zodra de gebruiker het LNK-bestand opent wordt dit commando uit het .srt-bestand gelezen en uitgevoerd.

Dit commando leest vervolgens verschillende datablokken die zich ook in het ondertitelingsbestand bevinden, zo laten screenshots van Bleeping Computer zien. Deze datablokken worden vervolgens samengevoegd tot verschillende andere PowerShell-scripts die de uiteindelijke malware op het systeem installeren. Het gaat om een remote access trojan (RAT) genaamd Agent Tesla. Via de malware hebben aanvallers controle over het besmette systeem, kunnen allerlei gevoelige informatie en bestanden stelen en verdere aanvallen uitvoeren.

Volgens Bitdefender is de aanval gericht op "beginners" die niet vaak illegale content downloaden of het gevaar van torrent-bestanden niet begrijpen. "Het is onmogelijk om te schatten hoeveel mensen de bestanden hebben gedownload, maar we zagen dat de vermeende film duizenden seeders en leechers had", aldus de virusbestrijder.