Bitdefender安全团队发现黑客利用莱昂纳多・迪卡普里奥主演的新电影《一战再战》的盗版种子，通过字幕文件嵌入PowerShell恶意脚本，实施复杂的攻击链，最终植入Agent Tesla木马窃取用户信息。

12 月 13 日消息，Bitdefender 安全团队于 12 月 10 日发布博文，报道称有黑客利用莱昂纳多・迪卡普里奥（Leonardo DiCaprio）主演新电影《一战再战》（One Battle After Another），在盗版种子的字幕文件中，嵌入 PowerShell 恶意脚本。

IT之家援引博文介绍，该团队在监测该电影相关的威胁激增时，截获了一个伪造的种子文件。尽管利用热门电影传播恶意软件并非新鲜事，但专家指出，此次攻击的感染链设计之复杂、隐蔽性之高，在同类攻击中实属罕见。

Bitdefender 虽无法统计确切的中招人数，但数据显示该伪造种子已拥有数千个做种者（Seeders）和下载者（Leechers）。

与普通视频文件不同，该恶意种子包含一个视频文件、两张图片、一个字幕文件（Part2.subtitles.srt）以及一个伪装成电影启动器的快捷方式（CD.lnk），攻击的核心在于那个看似普通的字幕文件。

当用户点击“CD.lnk”快捷方式后，实际上是执行了一串 Windows 命令。该命令会精准定位并提取字幕文件中第 100 至 103 行之间隐藏的恶意 PowerShell 脚本。由于大多数杀毒软件不会将文本格式的字幕视为威胁源，因此这一过程完全绕过了传统的安全扫描。

被激活的 PowerShell 脚本会进一步解密字幕文件中经过 AES 加密的数据块，重构出五个新的脚本文件并释放到系统目录中。随后，攻击进入复杂的五个阶段：

• 首先利用解压工具处理视频文件存档；
• 接着创建隐藏的计划任务以确保持久化运行；
• 紧接着，脚本会从附带的 JPG 图片文件中解码出二进制数据，这意味着黑客甚至将恶意代码“隐写”在了电影海报里；
• 脚本会检查 Windows Defender 状态，安装 Go 语言环境；
• 最终的攻击载荷直接加载到内存中运行。

这一繁杂攻击链的最终目的是植入“Agent Tesla”。这是一种自 2014 年以来就活跃在网络犯罪领域的 Windows 远程访问木马（RAT）和信息窃取程序。尽管它不是新型病毒，但因其极高的可靠性和易部署性，至今仍被广泛使用。

设备一旦感染，Agent Tesla 能够窃取受害者的浏览器记录、电子邮件登录凭证、FTP 和 VPN 账户信息，甚至能实时截取屏幕画面，将用户的隐私数据传输给攻击者。

Bitdefender 进一步指出，这种攻击手法并非个例。在其他热门电影（如《碟中谍：最终清算》）的盗版资源中，研究人员也发现了类似的攻击活动，只不过植入的是 Lumma Stealer 等其他类型的窃密软件。