IT之家 12 月 13 日消息,Bitdefender 安全团队于 12 月 10 日发布博文,报道称有黑客利用莱昂纳多・迪卡普里奥(Leonardo DiCaprio)主演新电影《一战再战》(One Battle After Another),在盗版种子的字幕文件中,嵌入 PowerShell 恶意脚本。IT之家援引博文介绍,该团队在监测该电影相关的威胁激增时,截获了一个伪造的种子文件。尽管利用热门电影传播恶意软件并非新鲜事,但专家指出,此次攻击的感染链设计之复杂、隐蔽性之高,在同类攻击中实属罕见。Bitdefender 虽无法统计确切的中招人数,但数据显示该伪造种子已拥有数千个做种者(Seeders)和下载者(Leechers)。与普通视频文件不同,该恶意种子包含一个视频文件、两张图片、一个字幕文件(Part2.subtitles.srt)以及一个伪装成电影启动器的快捷方式(CD.lnk),攻击的核心在于那个看似普通的字幕文件。当用户点击“CD.lnk”快捷方式后,实际上是执行了一串 Windows 命令。该命令会精准定位并提取字幕文件中第 100 至 103 行之间隐藏的恶意 PowerShell 脚本。由于大多数杀毒软件不会将文本格式的字幕视为威胁源,因此这一过程完全绕过了传统的安全扫描。
被激活的 PowerShell 脚本会进一步解密字幕文件中经过 AES 加密的数据块,重构出五个新的脚本文件并释放到系统目录中。随后,攻击进入复杂的五个阶段:这一繁杂攻击链的最终目的是植入“Agent Tesla”。这是一种自 2014 年以来就活跃在网络犯罪领域的 Windows 远程访问木马(RAT)和信息窃取程序。尽管它不是新型病毒,但因其极高的可靠性和易部署性,至今仍被广泛使用。设备一旦感染,Agent Tesla 能够窃取受害者的浏览器记录、电子邮件登录凭证、FTP 和 VPN 账户信息,甚至能实时截取屏幕画面,将用户的隐私数据传输给攻击者。
Bitdefender 进一步指出,这种攻击手法并非个例。在其他热门电影(如《碟中谍:最终清算》)的盗版资源中,研究人员也发现了类似的攻击活动,只不过植入的是 Lumma Stealer 等其他类型的窃密软件。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,蓝鸢梦想所有文章均包含本声明。
