IT之家12月13日消息，Bitdefender安全團隊12月10日發(fā)布博文稱，有黑客利用萊昂納多?迪卡普里奧主演的新電影《一戰(zhàn)再戰(zhàn)》，在盜版種子的字幕文件里嵌入了PowerShell惡意腳本。

IT之家援引該博文介紹，團隊監(jiān)測到這部電影相關的威脅激增，期間截獲了一個偽造的種子文件。雖說利用熱門電影傳播惡意軟件不算新鮮事，但專家表示，這次攻擊的感染鏈設計復雜、隱蔽性高，在同類攻擊里很罕見。

Bitdefender沒法統(tǒng)計確切的中招人數(shù)，不過數(shù)據(jù)顯示這個偽造種子已有數(shù)千個做種者和下載者。

和普通視頻文件不同，這個惡意種子包含一個視頻文件、兩張圖片、一個字幕文件（Part2.subtitles.srt）以及一個偽裝成電影啟動器的快捷方式（CD.lnk），攻擊的核心就是那個看似普通的字幕文件。

用戶點擊“CD.lnk”快捷方式后，實際執(zhí)行的是一串Windows命令。這串命令會精準定位并提取字幕文件第100至103行之間隱藏的惡意PowerShell腳本。因為大多數(shù)殺毒軟件不會把文本格式的字幕當成威脅源，所以這個過程能完全繞過傳統(tǒng)安全掃描。

被激活的PowerShell腳本會進一步解密字幕文件中經過AES加密的數(shù)據(jù)塊，重構出五個新的腳本文件并釋放到系統(tǒng)目錄。之后攻擊進入復雜的五個階段：先用解壓工具處理視頻文件存檔；接著創(chuàng)建隱藏的計劃任務確保持久化運行；再從附帶的JPG圖片文件中解碼出二進制數(shù)據(jù)，也就是說黑客甚至把惡意代碼“隱寫”在了電影海報里；然后腳本會檢查Windows Defender狀態(tài)，安裝Go語言環(huán)境；最終的攻擊載荷直接加載到內存中運行。

這個繁雜攻擊鏈的最終目的是植入“Agent Tesla”。這是一種2014年起就活躍在網(wǎng)絡犯罪領域的Windows遠程訪問木馬和信息竊取程序，雖然不是新型病毒，但因為可靠性高、易部署，至今仍被廣泛使用。

設備一旦感染，Agent Tesla能竊取受害者的瀏覽器記錄、電子郵件登錄憑證、FTP和VPN賬戶信息，甚至能實時截取屏幕畫面，把用戶的隱私數(shù)據(jù)傳輸給攻擊者。

Bitdefender還指出，這種攻擊手法不是個例。在《碟中諜：最終清算》等其他熱門電影的盜版資源里，研究人員也發(fā)現(xiàn)了類似攻擊活動，只是植入的是Lumma Stealer等其他類型的竊密軟件。

本文僅代表作者觀點，版權歸原創(chuàng)者所有，如需轉載請在文中注明來源及作者名字。

免責聲明：本文系轉載編輯文章，僅作分享之用。如分享內容、圖片侵犯到您的版權或非授權發(fā)布，請及時與我們聯(lián)系進行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com