AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nuevo vector de ataque: torrents falsos de películas distribuyen Agent Tesla mediante subtítulos maliciosos**

admin

### 1. Introducción

El ecosistema de amenazas digitales continúa evolucionando, adaptándose a los hábitos de consumo de los usuarios y explotando tendencias populares para maximizar su alcance. En las últimas semanas, los analistas de ciberseguridad han detectado una campaña de malware que aprovecha la descarga de torrents falsos de películas para distribuir el infame troyano Agent Tesla. El caso más reciente involucra una supuesta versión de «One Battle After Another», protagonizada por Leonardo DiCaprio, utilizada como señuelo para infectar sistemas a través de archivos de subtítulos manipulados.

### 2. Contexto del Incidente

Los ciberdelincuentes han vuelto a poner el foco en las redes P2P y plataformas de compartición de archivos, aprovechando el atractivo de los estrenos cinematográficos para propagar malware. Aunque la distribución de código malicioso mediante archivos de vídeo ha sido detectada anteriormente, la novedad de esta campaña radica en el uso de archivos de subtítulos (formato SRT, generalmente considerado inofensivo) como vector de infección.

El señuelo: un archivo torrent supuestamente legítimo con la película «One Battle After Another», que incluye subtítulos manipulados. Esta táctica eleva la sofisticación de la amenaza, dado que muchos usuarios y sistemas de seguridad ignoran los riesgos asociados a archivos de subtítulos.

### 3. Detalles Técnicos

#### 3.1. Vector de ataque y TTPs

El archivo torrent descargado contiene una estructura aparentemente normal: un archivo de vídeo y un archivo de subtítulos (.srt). El archivo SRT, sin embargo, oculta un payload malicioso embebido que, al ser abierto o procesado por determinados reproductores de vídeo vulnerables o scripts automatizados, ejecuta código PowerShell.

El análisis forense revela que el subtítulo contiene instrucciones ofuscadas que, a través de la explotación de vulnerabilidades conocidas en reproductores multimedia (como VLC, Kodi o Popcorn Time en versiones desactualizadas), consiguen ejecutar scripts PowerShell en el sistema de la víctima.

#### 3.2. Malware desplegado

El payload final es un loader de PowerShell que descarga e instala Agent Tesla RAT, un software de acceso remoto (RAT) especializado en el robo de credenciales, keylogging y exfiltración de datos. Agent Tesla, identificado bajo los CVE-2017-11882 y CVE-2018-8174 para sus métodos de explotación habituales, es conocido por su capacidad de evadir soluciones antivirus tradicionales y por su integración con frameworks como Cobalt Strike para movimientos laterales y persistencia.

#### 3.3. Indicadores de compromiso (IoC)

– Ficheros SRT con cadenas sospechosas como `powershell -EncodedCommand`
– Comunicaciones salientes a dominios C2 registrados recientemente o con TLDs exóticos
– Descarga de ejecutables desde URLs acortadas o servicios de almacenamiento temporal
– Proceso de PowerShell hijo de reproductores multimedia

#### 3.4. Mapeo MITRE ATT&CK

– Initial Access: T1192 (Spearphishing via Service)
– Execution: T1059 (Command and Scripting Interpreter: PowerShell)
– Persistence: T1547 (Boot or Logon Autostart Execution)
– Exfiltration: T1041 (Exfiltration over C2 Channel)

### 4. Impacto y Riesgos

El uso de archivos de subtítulos como vector de ataque amplía el espectro de objetivos, afectando tanto a usuarios domésticos como a entornos corporativos donde el consumo de contenido multimedia no está restringido. Según estimaciones recientes, Agent Tesla ha estado presente en hasta el 15% de los incidentes de robo de credenciales reportados en 2023, con un coste asociado de entre 2.000 y 25.000 euros por incidente, derivado de la exfiltración de datos sensibles y el compromiso de cuentas corporativas.

El riesgo se incrementa en organizaciones que permiten el uso de dispositivos BYOD o que no aplican segmentación de red, ya que el malware puede aprovechar credenciales robadas para moverse lateralmente, comprometer recursos compartidos y lanzar campañas de phishing internas.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización de reproductores multimedia**: Mantener siempre al día aplicaciones como VLC, Kodi y similares. Aplicar los últimos parches de seguridad.
– **Filtrado en gateway**: Bloquear descargas de archivos torrent y extensiones asociadas a subtítulos desde proxies y firewalls.
– **Restricción de PowerShell**: Limitar la ejecución de scripts PowerShell mediante políticas de grupo y activar el registro extendido de eventos.
– **Monitorización de IoCs**: Configurar SIEM y EDR para detectar patrones de ejecución anómalos de PowerShell y conexiones a dominios sospechosos.
– **Formación y concienciación**: Instruir a los empleados sobre los riesgos de descargar contenido multimedia desde fuentes no oficiales.
– **Prevención de movimientos laterales**: Segmentar la red y limitar los permisos de usuario para minimizar el impacto de un compromiso inicial.

### 6. Opinión de Expertos

Especialistas en ciberseguridad, como David Álvarez (analista senior en S21sec), advierten que «el uso de archivos de subtítulos representa una evolución significativa en la ingeniería social de los ataques, ya que explota la confianza implícita en formatos considerados seguros y difíciles de analizar con herramientas tradicionales». Desde el CERT de la Agencia Española de Protección de Datos, se recomienda a las empresas reforzar las auditorías de endpoints y establecer controles adicionales sobre el uso de software no autorizado.

### 7. Implicaciones para Empresas y Usuarios

El incidente pone de manifiesto la necesidad de revisar las políticas de uso de software y contenido multimedia en el entorno corporativo, así como la importancia de mantener una vigilancia activa sobre vectores de ataque emergentes. El cumplimiento de normativas como GDPR y NIS2 puede verse comprometido ante la exfiltración de datos personales a través de RATs como Agent Tesla, lo que expone a las empresas a sanciones económicas y daños reputacionales.

### 8. Conclusiones

La campaña que utiliza torrents falsos y subtítulos maliciosos para propagar Agent Tesla subraya la creatividad de los actores de amenazas y la necesidad de adoptar un enfoque multicapa en la defensa corporativa. La monitorización constante, la actualización de sistemas y la concienciación del usuario final se consolidan como pilares fundamentales para mitigar riesgos en un entorno de amenazas cada vez más sofisticado.

(Fuente: www.bleepingcomputer.com)