莱昂纳多新片《一战再战》盗版种子藏木马，Win10/Win11 用户慎下

　　系统之家 12 月 15 日最新消息，Bitdefender 安全团队监测到一起针对性极强的网络攻击事件：黑客利用莱昂纳多・迪卡普里奥主演的热门新电影《一战再战》（One Battle After Another），在盗版种子的字幕文件中，嵌入 PowerShell 恶意脚本，专门瞄准 Win10/Win11 系统用户实施入侵。

　　系统之家援引博文介绍，该团队在监测该电影相关的威胁激增时，截获了一个伪造的种子文件。尽管利用热门电影传播恶意软件并非新鲜事，但专家指出，此次攻击的感染链设计之复杂、隐蔽性之高，在同类攻击中实属罕见。

　　Bitdefender 虽无法统计确切的中招人数，但数据显示该伪造种子已拥有数千个做种者（Seeders）和下载者（Leechers）。

　　与普通视频文件不同，该恶意种子包含一个视频文件、两张图片、一个字幕文件（Part2.subtitles.srt）以及一个伪装成电影启动器的快捷方式（CD.lnk），攻击的核心在于那个看似普通的字幕文件。

　　当用户点击“CD.lnk”快捷方式后，实际上是执行了一串 Windows 命令。该命令会精准定位并提取字幕文件中第 100 至 103 行之间隐藏的恶意 PowerShell 脚本。由于大多数杀毒软件不会将文本格式的字幕视为威胁源，因此这一过程完全绕过了传统的安全扫描。

　　被激活的 PowerShell 脚本会进一步解密字幕文件中经过 AES 加密的数据块，重构出五个新的脚本文件并释放到系统目录中。随后，攻击进入复杂的五个阶段：

　　首先利用解压工具处理视频文件存档；

　　接着创建隐藏的计划任务以确保持久化运行；

　　紧接着，脚本会从附带的 JPG 图片文件中解码出二进制数据，这意味着黑客甚至将恶意代码“隐写”在了电影海报里；

　　脚本会检查 Windows Defender 状态，安装 Go 语言环境；

　　最终的攻击载荷直接加载到内存中运行。

　　这一繁杂攻击链的最终目的是植入“Agent Tesla”。这是一种自 2014 年以来就活跃在网络犯罪领域的 Windows 远程访问木马（RAT）和信息窃取程序。尽管它不是新型病毒，但因其极高的可靠性和易部署性，至今仍被广泛使用。

　　设备一旦感染，Agent Tesla 能够窃取受害者的浏览器记录、电子邮件登录凭证、FTP 和 VPN 账户信息，甚至能实时截取屏幕画面，将用户的隐私数据传输给攻击者。

　　Bitdefender 进一步指出，这种攻击手法并非个例。在其他热门电影（如《碟中谍：最终清算》）的盗版资源中，研究人员也发现了类似的攻击活动，只不过植入的是 Lumma Stealer 等其他类型的窃密软件。

　　小编推荐

　　1. 如果你是日常工作学习使用，家庭版是大部分电脑出厂预装的系统，可以满足你的日常使用需求，推荐你下载：Windows11 25H2 中文家庭版（前往下载）

　　2. 真正纯净的 Windows11 专业版系统，安装完成以后不捆绑软件，系统占用小，推荐你下载：Windows11 25H2 纯净专业版系统（前往下载）

　　3. 拥有五年超长生命周期支持的养老版，不频繁更新补丁，适合对稳定性要求高的企业用户。推荐你下载：Win11 24H2 LTSC 2024 企业版（前往下载）

　　4. 拥有超强的性能，专为“干重活”的专业用户设计（例如 CAD、动画、媒体制作者、图形设计团队等等），推荐你下载：Windows11 25H2 专业工作站版（前往下载）

　　5. 支持 BitLocker 磁盘加密、远程桌面主机、组策略管理等高级功能，适合对安全性、管理性和专业性有更高需求的用户。推荐你下载：Windows 11 25H2 专业版（前往下载）

　　以上是系统之家提供的最新资讯，感谢您的阅读，更多精彩内容请关注系统之家官网。