江蘇
關鍵詞
漏洞
Bitdefender 安全團隊于 12 月 10 日發布博文,報道稱有黑客利用萊昂納多迪卡普里奧(Leonardo DiCaprio)主演新電影《一戰再戰》(One Battle After Another),在盜版種子的字幕文件中,嵌入 PowerShell 惡意腳本。
該團隊在監測該電影相關的威脅激增時,截獲了一個偽造的種子文件。盡管利用熱門電影傳播惡意軟件并非新鮮事,但專家指出,此次攻擊的感染鏈設計之復雜、隱蔽性之高,在同類攻擊中實屬罕見。
Bitdefender 雖無法統計確切的中招人數,但數據顯示該偽造種子已擁有數千個做種者(Seeders)和下載者(Leechers)。
與普通視頻文件不同,該惡意種子包含一個視頻文件、兩張圖片、一個字幕文件(Part2.subtitles.srt)以及一個偽裝成電影啟動器的快捷方式(CD.lnk),攻擊的核心在于那個看似普通的字幕文件。
當用戶點擊 "CD.lnk" 快捷方式后,實際上是執行了一串 Windows 命令。該命令會精準定位并提取字幕文件中第 100 至 103 行之間隱藏的惡意 PowerShell 腳本。由于大多數殺毒軟件不會將文本格式的字幕視為威脅源,因此這一過程完全繞過了傳統的安全掃描。
被激活的 PowerShell 腳本會進一步解密字幕文件中經過 AES 加密的數據塊,重構出五個新的腳本文件并釋放到系統目錄中。隨后,攻擊進入復雜的五個階段:
首先利用解壓工具處理視頻文件存檔;
接著創建隱藏的計劃任務以確保持久化運行;
緊接著,腳本會從附帶的 JPG 圖片文件中解碼出二進制數據,這意味著黑客甚至將惡意代碼 " 隱寫 " 在了電影海報里;
腳本會檢查 Windows Defender 狀態,安裝 Go 語言環境;
最終的攻擊載荷直接加載到內存中運行。
這一繁雜攻擊鏈的最終目的是植入 "Agent Tesla"。這是一種自 2014 年以來就活躍在網絡犯罪領域的 Windows 遠程訪問木馬(RAT)和信息竊取程序。盡管它不是新型病毒,但因其極高的可靠性和易部署性,至今仍被廣泛使用。
設備一旦感染,Agent Tesla 能夠竊取受害者的瀏覽器記錄、電子郵件登錄憑證、FTP 和 VPN 賬戶信息,甚至能實時截取屏幕畫面,將用戶的隱私數據傳輸給攻擊者。
Bitdefender 進一步指出,這種攻擊手法并非個例。在其他熱門電影(如《碟中諜:最終清算》)的盜版資源中,研究人員也發現了類似的攻擊活動,只不過植入的是 Lumma Stealer 等其他類型的竊密軟件。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
