Bitdefender Ungkap Malware di Torrent Film Populer

Minat tinggi publik terhadap film terbaru kerap dimanfaatkan oleh pelaku kejahatan siber untuk melancarkan aksinya. Hal inilah yang terjadi pada film One Battle After Another, karya terbaru sutradara Paul Thomas Anderson yang dibintangi Leonardo DiCaprio. Sebuah torrent palsu yang mengatasnamakan film tersebut diketahui menyisipkan malware berbahaya yang mampu mencuri data pengguna secara diam-diam.

Temuan ini diungkap oleh peneliti keamanan siber dari Bitdefender. Mereka menemukan adanya lonjakan aktivitas berbahaya yang berkaitan dengan file torrent bertajuk One Battle After Another. Setelah ditelusuri, torrent tersebut ternyata tidak hanya berisi file film, tetapi juga menyimpan rangkaian malware yang dirancang untuk menginfeksi perangkat korban secara bertahap dan tersembunyi.

Film One Battle After Another sendiri dirilis pada 26 September 2025 dan mendapat sambutan positif dari penonton maupun kritikus. Dibintangi oleh Leonardo DiCaprio, Sean Penn, dan Benicio del Toro, film ini dengan cepat menjadi incaran banyak orang, termasuk mereka yang mencoba mengunduhnya melalui situs torrent tidak resmi. Situasi inilah yang dimanfaatkan oleh penjahat siber untuk menyebarkan malware.

Menurut Bitdefender, praktik menyebarkan malware melalui torrent film bukanlah hal baru. Namun, kasus ini dinilai menonjol karena metode infeksi yang digunakan tergolong rumit dan dirancang agar sulit terdeteksi oleh pengguna awam maupun sistem keamanan standar. Bahkan, jumlah pengguna yang terpapar diperkirakan cukup besar.

“Tidak mungkin untuk memastikan berapa banyak orang yang telah mengunduh file tersebut. Namun, kami melihat torrent film palsu ini memiliki ribuan seeder dan leecher,” ungkap pihak Bitdefender dalam laporannya.

Malware Disamarkan di Dalam File Subtitle

Torrent One Battle After Another versi berbahaya ini berisi beberapa file yang tampak normal. Di dalamnya terdapat file film dengan ekstensi .m2ts, dua file gambar bernama Photo.jpg dan Cover.jpg, sebuah file subtitle berformat .srt, serta satu file shortcut CD.lnk yang terlihat seperti peluncur film.

Masalah mulai terjadi ketika pengguna menjalankan file shortcut CD.lnk. Alih-alih memutar film, shortcut tersebut justru mengeksekusi perintah tertentu di sistem Windows. Perintah ini berfungsi untuk mengekstrak dan menjalankan skrip PowerShell berbahaya yang disembunyikan di dalam file subtitle.

Menariknya, skrip berbahaya tersebut tidak terlihat secara kasat mata. Kode PowerShell disisipkan di antara baris ke-100 hingga 103 dalam file subtitle, sehingga sulit dikenali oleh pengguna biasa. Saat dijalankan, skrip ini akan mengekstrak data tambahan yang telah dienkripsi menggunakan metode AES.

Data terenkripsi tersebut kemudian digunakan untuk menyusun kembali lima skrip PowerShell lain yang disimpan di direktori tersembunyi, tepatnya di jalur C:\Users\\AppData\Local\Microsoft\Diagnostics. Skrip-skrip ini berfungsi sebagai pengunduh malware atau dropper yang menjalankan serangkaian tahapan infeksi.

Rantai Infeksi Bertahap dan Tersembunyi

Pada tahap awal, malware akan mengekstrak file film .m2ts seolah-olah file tersebut adalah arsip. Setelah itu, malware membuat tugas terjadwal tersembunyi bernama RealtekDiagnostics yang secara otomatis menjalankan file RealtekCodec.bat. Langkah ini bertujuan agar malware tetap aktif meskipun komputer dihidupkan ulang.

Tahap berikutnya melibatkan file gambar. Malware akan mendekode data biner tersembunyi di dalam file Photo.jpg dan menuliskannya ke folder Cache Windows Sound Diagnostics. Sistem kemudian memastikan bahwa direktori cache yang digunakan memang tersedia dan dapat diakses.

Selanjutnya, isi file Cover.jpg diekstrak ke dalam folder cache tersebut. Di tahap ini, malware memuat berbagai file tambahan, termasuk skrip batch dan PowerShell lain yang memiliki peran lebih lanjut dalam serangan.

Pada fase akhir, rangkaian file ini digunakan untuk mengecek apakah Windows Defender aktif, menginstal bahasa pemrograman Go, serta mengekstrak muatan utama berupa malware Agent Tesla. Malware ini kemudian dijalankan langsung di memori, sehingga sulit terdeteksi karena tidak meninggalkan jejak file mencolok di sistem.

Ancaman Agent Tesla bagi Pengguna

Agent Tesla bukan malware baru. Malware jenis Remote Access Trojan (RAT) dan pencuri informasi ini telah aktif sejak 2014. Meski demikian, Agent Tesla masih banyak digunakan hingga kini karena stabil, efektif, dan relatif mudah disebarkan.

Malware ini dirancang untuk mencuri berbagai data sensitif, seperti informasi login browser, akun email, kredensial FTP dan VPN, serta mengambil tangkapan layar dari perangkat korban. Data yang dicuri kemudian dikirimkan ke server milik pelaku kejahatan siber.

Bitdefender juga mencatat bahwa dalam kasus torrent film lain, seperti Mission: Impossible – The Final Reckoning, mereka menemukan keluarga malware berbeda, salah satunya Lumma Stealer. Hal ini menunjukkan bahwa torrent film bajakan kerap menjadi media favorit untuk menyebarkan berbagai jenis malware.

Sebagai langkah pencegahan, Bitdefender mengingatkan pengguna agar berhati-hati terhadap torrent dari sumber anonim. Mengunduh atau membajak film terbaru tidak hanya melanggar hukum, tetapi juga berisiko tinggi terhadap keamanan perangkat dan data pribadi. Menggunakan layanan resmi dinilai jauh lebih aman untuk menghindari ancaman siber yang semakin canggih.