Vorsicht vor illegalen Downloads: Malware lauert in den Untertiteln

Im Zentrum dieser Warnung steht eine gefälschte Torrent-Datei für den im Sommer 2025 erschienenen Film „One Battle After Another“ mit den Hollywood-Stars Leonardo DiCaprio, Sean Penn und Benicio del Toro. Das große Interesse daran, den Film kostenlos zu streamen nutzen Cyberkriminelle nun aus. Zwar ist die Praxis, bösartige Torrents zu neuen Filmen zu verbreiten, nicht neu, doch dieser spezielle Angriffsvektor fällt durch eine ungewöhnlich komplexe und heimtückische Infektionskette auf, die herkömmliche Schutzmechanismen leicht umgehen kann.

Bitdefender-Forscher bemerkten einen deutlichen Anstieg der Infektionen mit Malware im Zusammenhang mit besagtem Film, was sie zu einer detaillierten Untersuchung des zugrundeliegenden Torrent-Pakets veranlasste. Die Analyse enthüllte, dass der Download neben der eigentlichen Filmdatei, einer sogenannten .m2ts-Datei, sowie harmlosen Bilddateien (Photo.jpg und Cover.jpg) auch eine Untertiteldatei namens Part2.subtitles.srt und eine Verknüpfungsdatei namens CD.lnk enthielt, die als vermeintlicher Filmlauncher fungieren sollte.

Und genau an dieser Stelle setzt der Angriff an: Anstatt den Film direkt zu starten, ist die Verknüpfungsdatei so programmiert worden, dass sie beim Anklicken durch den Nutzer Windows-Befehle ausführt, welche wiederum ein bösartiges PowerShell-Skript extrahieren und starten. Dieses Skript war nicht etwa in der Verknüpfung selbst oder einer offensichtlichen Executable-Datei versteckt, sondern, und das ist das Heimtückische dieses Angriffs, eingebettet in die Untertiteldatei – einem Format, das im Allgemeinen als reiner Text und somit als ungefährlich eingestuft wird. Das bösartige PowerShell-Skript wurde dabei geschickt zwischen den Zeilen 100 und 103 der Subtitle-Datei platziert und war visuell kaum von den eigentlichen Zeitstempeln und Textzeilen zu unterscheiden, was die Entdeckung durch einen normalen Nutzer nahezu unmöglich macht.

Einmal gestartet, dient dieses erste Skript als mehrstufiger Malware-Dropper. Es ist dafür konzipiert, weitere, ebenfalls verschlüsselte Datensegmente aus derselben Untertiteldatei zu extrahieren. Mithilfe einer AES-Verschlüsselung waren hier weitere, notwendige Bestandteile des Angriffs verborgen. Nach der Entschlüsselung werden fünf weitere PowerShell-Skripte rekonstruiert und in das temporäre Verzeichnis des Nutzers abgelegt.

Von diesem Punkt an entfaltet sich die volle Komplexität der Angriffskette. In aufeinanderfolgenden Schritten führt die Malware verschiedene Aktionen aus, um die Systeme des Opfers zu infiltrieren und eine dauerhafte Präsenz zu sichern. Dazu gehört in einer ersten Phase die scheinbare Dekomprimierung der Hauptfilmdatei, wobei diese als Archiv behandelt wird. Im zweiten Schritt wird eine versteckte, geplante Aufgabe im Windows Task Scheduler mit dem Namen RealtekDiagnostics eingerichtet, die dazu dient, ein weiteres Skript, nämlich RealtekCodec.bat, regelmäßig auszuführen und so die Persistenz der Malware im System zu gewährleisten. Daraufhin werden kodierte Binärdaten aus der Bilddatei Photo.jpg dekodiert und in das Windows Sound Diagnostics Cache-Verzeichnis geschrieben, gefolgt von der Überprüfung, ob das benötigte Verzeichnis für Windows Sound Diagnostics überhaupt existiert. Abschließend werden die Inhalte der Datei Cover.jpg in das Cache-Verzeichnis extrahiert, wobei diese Inhalte nun die finalen Batch- und PowerShell-Skripte enthalten, die für die Installation der eigentlichen Malware verantwortlich sind.

Die in dieser letzten Phase extrahierten und ausgeführten Skripte führen eine Reihe von Systemprüfungen durch, darunter die Abfrage, ob Windows Defender aktiv ist. Ihre primäre Aufgabe ist es jedoch, die finale Schadsoftware, den sogenannten Agent Tesla RAT, zu installieren und direkt in den Speicher zu laden, ohne dass dieser auf der Festplatte als eigenständige, leicht zu identifizierende Datei sichtbar wird.

Agent Tesla ist kein Neuling in der Welt der Cyberkriminalität. Dieser Remote Access Trojaner (RAT) und Informationsdieb ist bereits seit 2014 aktiv und wird aufgrund seiner Zuverlässigkeit und einfachen Bereitstellung weiterhin intensiv genutzt. Seine Hauptfunktion besteht darin, eine breite Palette sensibler Daten zu stehlen, darunter Anmeldeinformationen für Browser, E-Mail-Konten, FTP-Server und VPN-Verbindungen. Darüber hinaus ist die Malware in der Lage, Screenshots zu erstellen und diese an die Angreifer zu übermitteln, was einen tiefgreifenden Einblick in die Aktivitäten und privaten Daten des Opfers ermöglicht.

Die schiere Anzahl der beobachteten Seeder und Leecher in den Torrent-Netzwerken für diesen gefälschten Filmtitel deutet darauf hin, dass die Angreifer mit ihrer Strategie Erfolg hatten und potenziell Tausende von Geräten infiziert haben könnten, deren Nutzer lediglich einen Film anschauen wollten. Die Entdeckung durch Bitdefender unterstreicht die Notwendigkeit extremer Vorsicht beim Download von Inhalten aus nicht vertrauenswürdigen Quellen. Davon abgesehen, dass illegale Downloads zu erheblichen Schadenersatzforderungen führen können, stellen sie außerdem eine unmittelbare Bedrohung für die Datensicherheit dar. Die Sicherheitsforscher haben zudem darauf hingewiesen, dass bei anderen populären Filmtiteln ähnliche Methoden angewandt wurden, wenn auch mit unterschiedlicher Malware, wie etwa dem Lumma Stealer im Fall von Torrents für „Mission: Impossible – The Final Reckoning“. Diese Beobachtung bestätigt, dass die Methode des Versteckens von Schadcode in unauffälligen Dateien wie Untertiteln ein wachsender Trend unter Cyberkriminellen ist.

Die einzige wirklich sichere Empfehlung, um sich vor solchen zunehmend komplexen Bedrohungen zu schützen, ist, das Herunterladen und die Nutzung von piratisierten Inhalten, insbesondere neuen Filmen, gänzlich zu unterlassen und stattdessen auf legale und gesicherte Vertriebswege zurückzugreifen. Denn am Ende des Tages wird der kostenlose Film mit dem Verlust digitaler Identitäten und der Kompromittierung des gesamten Systems möglicherweise teuer bezahlt.