Peneliti keamanan siber mengungkap keberadaan torrent palsu untuk film One Battle After Another yang digunakan sebagai sarana penyebaran malware berbahaya. Torrent tersebut menyembunyikan loader malware berbasis PowerShell di dalam file subtitle, yang pada akhirnya menginfeksi perangkat korban dengan Agent Tesla RAT.
Temuan ini diungkap oleh tim Bitdefender setelah mendeteksi lonjakan aktivitas mencurigakan yang berkaitan dengan judul film tersebut. One Battle After Another merupakan film karya Paul Thomas Anderson yang dirilis pada 26 September 2025 dan dibintangi Leonardo DiCaprio, Sean Penn, serta Benicio del Toro. Popularitas film ini dimanfaatkan pelaku kejahatan siber untuk menjebak pengguna yang mencari salinan ilegalnya.
Menurut Bitdefender, praktik menyebarkan malware melalui torrent film bukanlah hal baru. Namun, kasus ini menonjol karena rantai infeksinya yang sangat kompleks dan dirancang agar sulit terdeteksi. Meski jumlah korban tidak dapat dipastikan, torrent palsu tersebut tercatat memiliki ribuan seeder dan leecher, menandakan potensi penyebaran yang luas.
Malware Dieksekusi dari File Subtitle
Torrent berbahaya ini berisi beberapa file yang tampak normal, termasuk file video utama, dua file gambar, sebuah file subtitle, serta sebuah shortcut yang menyerupai peluncur film. Ketika shortcut tersebut dijalankan, sistem akan mengeksekusi perintah Windows yang mengekstrak dan menjalankan skrip PowerShell berbahaya yang disisipkan di dalam file subtitle.
Skrip PowerShell tersebut tersembunyi di antara baris-baris subtitle dan berisi data terenkripsi menggunakan AES. Data ini kemudian digunakan untuk merekonstruksi beberapa skrip PowerShell tambahan yang disimpan di direktori sistem tertentu. Rangkaian skrip ini berfungsi sebagai malware dropper yang menjalankan beberapa tahap infeksi secara berurutan.
Pada tahap awal, file video diperlakukan sebagai arsip untuk mengekstrak komponen tambahan. Selanjutnya, sistem membuat tugas terjadwal tersembunyi agar malware dapat berjalan secara persisten. File gambar yang disertakan juga dimanfaatkan untuk menyimpan data biner tersembunyi, yang kemudian diekstrak ke direktori cache diagnostik Windows.
Tahap akhir infeksi digunakan untuk memeriksa status Windows Defender, memasang komponen tambahan, mengekstrak payload utama, dan memuat Agent Tesla langsung ke memori tanpa meninggalkan jejak file yang jelas di sistem.
Ancaman Agent Tesla Masih Relevan
Agent Tesla merupakan malware jenis Remote Access Trojan dan pencuri informasi yang telah beredar sejak 2014. Malware ini dikenal mampu mencuri kredensial browser, email, FTP, VPN, serta mengambil tangkapan layar dari sistem korban. Meski tergolong lama, Agent Tesla masih banyak digunakan karena stabil, efektif, dan mudah disebarkan.
Bitdefender juga mencatat bahwa pada torrent film lain, pelaku menggunakan keluarga malware berbeda, menunjukkan fleksibilitas metode serangan yang digunakan. Kondisi ini memperkuat peringatan bahwa torrent dari sumber anonim, terutama untuk film baru, sangat berisiko dan sering kali menjadi sarana distribusi malware.
Para peneliti keamanan kembali mengingatkan pengguna untuk menghindari pembajakan film, tidak hanya karena aspek legal, tetapi juga demi keamanan perangkat dan data pribadi.
Sumber : https://ahmandonk.com/2025/12/13/torrent-palsu-one-battle-after-another-malware/#google_vignette