黑客新伎俩：借莱昂纳多新片连环设套恶意脚本藏字幕入侵电脑

2分钟前

IT之家12月13日消息，Bitdefender安全团队12月10日发布博文称，有黑客利用莱昂纳多・迪卡普里奥主演的新电影《一战再战》，在盗版种子的字幕文件里嵌入了PowerShell恶意脚本。

IT之家援引该博文介绍，团队监测到这部电影相关的威胁激增，期间截获了一个伪造的种子文件。虽说利用热门电影传播恶意软件不算新鲜事，但专家表示，这次攻击的感染链设计复杂、隐蔽性高，在同类攻击里很罕见。

Bitdefender没法统计确切的中招人数，不过数据显示这个伪造种子已有数千个做种者和下载者。

和普通视频文件不同，这个恶意种子包含一个视频文件、两张图片、一个字幕文件（Part2.subtitles.srt）以及一个伪装成电影启动器的快捷方式（CD.lnk），攻击的核心就是那个看似普通的字幕文件。

用户点击“CD.lnk”快捷方式后，实际执行的是一串Windows命令。这串命令会精准定位并提取字幕文件第100至103行之间隐藏的恶意PowerShell脚本。因为大多数杀毒软件不会把文本格式的字幕当成威胁源，所以这个过程能完全绕过传统安全扫描。

被激活的PowerShell脚本会进一步解密字幕文件中经过AES加密的数据块，重构出五个新的脚本文件并释放到系统目录。之后攻击进入复杂的五个阶段：先用解压工具处理视频文件存档；接着创建隐藏的计划任务确保持久化运行；再从附带的JPG图片文件中解码出二进制数据，也就是说黑客甚至把恶意代码“隐写”在了电影海报里；然后脚本会检查Windows Defender状态，安装Go语言环境；最终的攻击载荷直接加载到内存中运行。

这个繁杂攻击链的最终目的是植入“Agent Tesla”。这是一种2014年起就活跃在网络犯罪领域的Windows远程访问木马和信息窃取程序，虽然不是新型病毒，但因为可靠性高、易部署，至今仍被广泛使用。

设备一旦感染，Agent Tesla能窃取受害者的浏览器记录、电子邮件登录凭证、FTP和VPN账户信息，甚至能实时截取屏幕画面，把用户的隐私数据传输给攻击者。