老翻的代價|假冒《一戰再戰》翻版種子檔 字幕檔暗藏Agent Tesla木馬病毒
網絡安全公司 Bitdefender 研究團隊近日發現,一個假冒為荷里活大片《一戰再戰》的電影種子檔被廣泛散播,種子內藏複雜的惡意感染鏈,利用字幕檔及 PowerShell 腳本將 Agent Tesla 木馬病毒植入受害者設備,以免費做餌偷取用家的個人敏感數據。
攻擊鏈極其複雜
《一戰再戰》是由 Paul Thomas Anderson 執導,里安納度狄卡比奧及辛潘等明星主演的電影,雖然香港的票房一般,但這套主題為自由而戰的電影在國際上的評價極高,吸引大批影迷上網搵免費版。不過,黑客亦趁機在網上流出假冒的種子檔,並利用高超的隱密技術,成功感染大量用家。
Bitdefender 指出這次黑客採用的攻擊鏈極其複雜,受害者下載的種子檔內包含多個文件,包括影片檔案、兩張圖片檔、字幕檔以及一個看似是影片啟動器的快捷方式(CD.lnk)。雖然類似攻擊並不新鮮,但這次事件因其隱蔽性和感染技術的複雜性,特別引人注目。
用家在執行種子檔內的「CD.lnk」快捷方式後會觸發 Windows 命令,從字幕檔的第 100 至 103 行提取嵌入其中的惡意 PowerShell 腳本,並進一步解密出多個 AES 加密的數據塊,重建五個 PowerShell 腳本,這些腳本會被存放於目標設備的 C:\Users\<USER>\AppData\Local\Microsoft\Diagnostics 資料夾中。
感染程序會逐步完成惡意行動,包括將影片檔案作為壓縮檔解壓並執行、建立隱藏計畫任務以執行惡意行為、從圖片檔中提取二進制數據並將還原文件寫入系統緩存目錄,最終將 Agent Tesla 木馬病毒載入設備記憶體中。
Agent Tesla 深受黑客歡迎
Agent Tesla 最早可追溯至 2014 年,它一直是黑客常用的遠端存取木馬(RAT),具有竊取瀏覽器、電郵、FTP 和 VPN 憑據,以及截圖等功能。雖然並非新型威脅,但由於其穩定性高且部署簡單,至今仍被廣泛使用。Bitdefender 指出類似攻擊也曾出現在其他熱門電影如《Mission: Impossible – The Final Reckoning》上,當時團隊便觀察到另一種惡意軟件 Lumma Stealer 的蹤跡。
針對這次攻擊事件,專家建議用家應避免下載來源不明的種子檔,尤其是來自匿名上傳者的新片種子檔。另外,用家需保持防毒軟件更新,確保 Windows Defender 或其他防毒軟件處於最新版本,及時檢測並移除威脅。即使是看似無害的圖片或字幕檔,也可能暗藏惡意編碼,非常危險。
