IT之家12月13日消息，Bitdefender安全團(tuán)隊(duì)12月10日發(fā)布博文稱，有黑客利用萊昂納多?迪卡普里奧主演的新電影《一戰(zhàn)再戰(zhàn)》，在盜版種子的字幕文件里嵌入了PowerShell惡意腳本。

IT之家援引該博文介紹，團(tuán)隊(duì)監(jiān)測到這部電影相關(guān)的威脅激增，期間截獲了一個(gè)偽造的種子文件。雖說利用熱門電影傳播惡意軟件不算新鮮事，但專家表示，這次攻擊的感染鏈設(shè)計(jì)復(fù)雜、隱蔽性高，在同類攻擊里很罕見。

Bitdefender沒法統(tǒng)計(jì)確切的中招人數(shù)，不過數(shù)據(jù)顯示這個(gè)偽造種子已有數(shù)千個(gè)做種者和下載者。

和普通視頻文件不同，這個(gè)惡意種子包含一個(gè)視頻文件、兩張圖片、一個(gè)字幕文件（Part2.subtitles.srt）以及一個(gè)偽裝成電影啟動(dòng)器的快捷方式（CD.lnk），攻擊的核心就是那個(gè)看似普通的字幕文件。

用戶點(diǎn)擊“CD.lnk”快捷方式后，實(shí)際執(zhí)行的是一串Windows命令。這串命令會(huì)精準(zhǔn)定位并提取字幕文件第100至103行之間隱藏的惡意PowerShell腳本。因?yàn)榇蠖鄶?shù)殺毒軟件不會(huì)把文本格式的字幕當(dāng)成威脅源，所以這個(gè)過程能完全繞過傳統(tǒng)安全掃描。

被激活的PowerShell腳本會(huì)進(jìn)一步解密字幕文件中經(jīng)過AES加密的數(shù)據(jù)塊，重構(gòu)出五個(gè)新的腳本文件并釋放到系統(tǒng)目錄。之后攻擊進(jìn)入復(fù)雜的五個(gè)階段：先用解壓工具處理視頻文件存檔；接著創(chuàng)建隱藏的計(jì)劃任務(wù)確保持久化運(yùn)行；再從附帶的JPG圖片文件中解碼出二進(jìn)制數(shù)據(jù)，也就是說黑客甚至把惡意代碼“隱寫”在了電影海報(bào)里；然后腳本會(huì)檢查Windows Defender狀態(tài)，安裝Go語言環(huán)境；最終的攻擊載荷直接加載到內(nèi)存中運(yùn)行。

這個(gè)繁雜攻擊鏈的最終目的是植入“Agent Tesla”。這是一種2014年起就活躍在網(wǎng)絡(luò)犯罪領(lǐng)域的Windows遠(yuǎn)程訪問木馬和信息竊取程序，雖然不是新型病毒，但因?yàn)榭煽啃愿?、易部署，至今仍被廣泛使用。

設(shè)備一旦感染，Agent Tesla能竊取受害者的瀏覽器記錄、電子郵件登錄憑證、FTP和VPN賬戶信息，甚至能實(shí)時(shí)截取屏幕畫面，把用戶的隱私數(shù)據(jù)傳輸給攻擊者。

Bitdefender還指出，這種攻擊手法不是個(gè)例。在《碟中諜：最終清算》等其他熱門電影的盜版資源里，研究人員也發(fā)現(xiàn)了類似攻擊活動(dòng)，只是植入的是Lumma Stealer等其他類型的竊密軟件。

本文僅代表作者觀點(diǎn)，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請?jiān)谖闹凶⒚鱽碓醇白髡呙帧?/p>

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請及時(shí)與我們聯(lián)系進(jìn)行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com