【安全资讯】虚假《One Battle After Another》种子文件通过字幕隐藏恶意软件

概要：

随着热门电影《One Battle After Another》的上映，网络犯罪分子再次利用公众的观影热情发起攻击。Bitdefender研究人员发现，一个伪装成该电影种子的恶意文件正在传播，其通过将恶意PowerShell加载器隐藏在字幕文件中，最终在用户设备上植入Agent Tesla远程访问木马（RAT）。这种利用字幕文件作为攻击载体的复杂感染链，凸显了当前网络威胁的隐蔽性与技术演进。

主要内容：

此次攻击的恶意种子文件包含电影文件、图片、字幕文件和一个伪装成电影启动器的快捷方式文件。当用户执行该快捷方式时，它会触发Windows命令，从字幕文件的特定行（100-103行）中提取并运行一个恶意的PowerShell脚本。

该PowerShell脚本的核心功能是从字幕文件中提取多个AES加密的数据块，并重构出五个PowerShell脚本，将其投放到系统目录中。这些脚本作为恶意软件投放器，执行一系列复杂的操作，包括解压电影文件、创建隐藏的计划任务、解码图片中嵌入的二进制数据，并最终在内存中加载Agent Tesla。

Agent Tesla是一款自2014年便开始活跃的Windows远程访问木马和信息窃取器，以其可靠性和易于部署而长期被广泛使用。它能窃取浏览器、电子邮件、FTP和VPN的凭证，并捕获屏幕截图。此次攻击链的复杂性在于其多阶段加载机制和对系统正常组件（如声音诊断缓存目录）的滥用，有效规避了部分安全检测。

Bitdefender指出，利用新电影热度传播恶意种子并非新手段，但此案例的感染链异常复杂和隐蔽。研究人员无法估计具体感染人数，但观察到该虚假种子拥有数千个“做种者”和“下载者”。安全专家强烈建议用户避免下载来源不明的盗版内容，以防范此类风险。