江蘇
關(guān)鍵詞
漏洞
Bitdefender 安全團隊于 12 月 10 日發(fā)布博文,報道稱有黑客利用萊昂納多迪卡普里奧(Leonardo DiCaprio)主演新電影《一戰(zhàn)再戰(zhàn)》(One Battle After Another),在盜版種子的字幕文件中,嵌入 PowerShell 惡意腳本。
該團隊在監(jiān)測該電影相關(guān)的威脅激增時,截獲了一個偽造的種子文件。盡管利用熱門電影傳播惡意軟件并非新鮮事,但專家指出,此次攻擊的感染鏈設(shè)計之復(fù)雜、隱蔽性之高,在同類攻擊中實屬罕見。
Bitdefender 雖無法統(tǒng)計確切的中招人數(shù),但數(shù)據(jù)顯示該偽造種子已擁有數(shù)千個做種者(Seeders)和下載者(Leechers)。
與普通視頻文件不同,該惡意種子包含一個視頻文件、兩張圖片、一個字幕文件(Part2.subtitles.srt)以及一個偽裝成電影啟動器的快捷方式(CD.lnk),攻擊的核心在于那個看似普通的字幕文件。
當(dāng)用戶點擊 "CD.lnk" 快捷方式后,實際上是執(zhí)行了一串 Windows 命令。該命令會精準(zhǔn)定位并提取字幕文件中第 100 至 103 行之間隱藏的惡意 PowerShell 腳本。由于大多數(shù)殺毒軟件不會將文本格式的字幕視為威脅源,因此這一過程完全繞過了傳統(tǒng)的安全掃描。
被激活的 PowerShell 腳本會進一步解密字幕文件中經(jīng)過 AES 加密的數(shù)據(jù)塊,重構(gòu)出五個新的腳本文件并釋放到系統(tǒng)目錄中。隨后,攻擊進入復(fù)雜的五個階段:
首先利用解壓工具處理視頻文件存檔;
接著創(chuàng)建隱藏的計劃任務(wù)以確保持久化運行;
緊接著,腳本會從附帶的 JPG 圖片文件中解碼出二進制數(shù)據(jù),這意味著黑客甚至將惡意代碼 " 隱寫 " 在了電影海報里;
腳本會檢查 Windows Defender 狀態(tài),安裝 Go 語言環(huán)境;
最終的攻擊載荷直接加載到內(nèi)存中運行。
這一繁雜攻擊鏈的最終目的是植入 "Agent Tesla"。這是一種自 2014 年以來就活躍在網(wǎng)絡(luò)犯罪領(lǐng)域的 Windows 遠(yuǎn)程訪問木馬(RAT)和信息竊取程序。盡管它不是新型病毒,但因其極高的可靠性和易部署性,至今仍被廣泛使用。
設(shè)備一旦感染,Agent Tesla 能夠竊取受害者的瀏覽器記錄、電子郵件登錄憑證、FTP 和 VPN 賬戶信息,甚至能實時截取屏幕畫面,將用戶的隱私數(shù)據(jù)傳輸給攻擊者。
Bitdefender 進一步指出,這種攻擊手法并非個例。在其他熱門電影(如《碟中諜:最終清算》)的盜版資源中,研究人員也發(fā)現(xiàn)了類似的攻擊活動,只不過植入的是 Lumma Stealer 等其他類型的竊密軟件。
安全圈
網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
