12月13日消息,网络安全公司Bitdefender发布报告称,其安全团队于12月10日披露,发现有黑客利用由莱昂纳多·迪卡普里奥主演的新电影《一战再战》盗版资源,在字幕文件中嵌入了恶意的PowerShell脚本。
报告介绍,该团队在监测到针对此电影的威胁活动激增时,截获了一个伪造的字幕文件。尽管利用热门电影传播恶意软件并非新鲜事,但专家指出,此次攻击的感染链设计之复杂、隐蔽性之高,在同类攻击中实属罕见。
Bitdefender虽无法统计确切的中招人数,但数据显示这个伪造的资源已拥有数千个做种者和下载者。
与普通视频文件不同,这个恶意种子包除了视频文件,还包含两张图片、一个字幕文件以及一个伪装成电影启动器的快捷方式。攻击的核心就在于那个看似普通的字幕文件。
当用户点击“CD.lnk”快捷方式后,实际是执行了一串Windows命令。该命令会精准定位并提取字幕文件中第100至103行之间隐藏的恶意PowerShell脚本。由于多数杀毒软件不会将文本格式的字幕文件视为威胁源,因此这一过程完全绕过了传统的安全扫描。


被激活的PowerShell脚本会进一步解密字幕文件中经过AES加密的数据块,重构出五个新的脚本文件并释放到系统目录中。随后,攻击将进入复杂的五个阶段:
首先利用解压工具处理视频文件存档;
接着创建隐藏的计划任务以确保持久化运行;
紧接着,脚本会从附带的JPG图片文件中解码出二进制数据,这意味着黑客甚至将恶意代码“隐写”在了电影海报里;
脚本会检查Windows Defender状态,并安装Go语言环境;
最终的攻击载荷则直接加载到内存中运行。
这一复杂攻击链的最终目的是植入“Agent Tesla”。这是一种自2014年以来就活跃在网络犯罪领域的Windows远程访问木马和信息窃取程序。尽管它并非新型病毒,但因其极高的可靠性和易部署性,至今仍被广泛使用。
设备一旦感染,Agent Tesla能够窃取受害者的浏览器记录、电子邮件登录凭证、FTP和VPN账户信息,甚至能实时截取屏幕画面,将用户的隐私数据传输给攻击者。

Bitdefender进一步指出,这种攻击手法并非个例。在其他热门电影(如《碟中谍:最终清算》)的盗版资源中,研究人员也发现了类似的攻击活动,只不过植入的是Lumma Stealer等其他类型的窃密软件。
