文章总结： Bitdefender安全团队发现黑客利用莱昂纳多主演新电影《一战再战》的盗版种子传播恶意软件，通过在字幕文件中嵌入PowerShell脚本，绕过传统安全扫描，最终植入AgentTesla信息窃取木马，这种攻击手法在其他热门电影盗版资源中也有发现，提醒用户警惕盗版资源风险 综合评分： 85 文章分类： 恶意软件,漏洞分析,威胁情报,安全意识,数据泄露

【安全圈】黑客新套路：利用莱昂纳多主演新电影，连环设陷入侵你的电脑

安全圈

2025年12月13日 19:00 江苏

关键词

漏洞

Bitdefender 安全团队于 12 月 10 日发布博文，报道称有黑客利用莱昂纳多迪卡普里奥（Leonardo DiCaprio）主演新电影《一战再战》（One Battle After Another），在盗版种子的字幕文件中，嵌入 PowerShell 恶意脚本。

该团队在监测该电影相关的威胁激增时，截获了一个伪造的种子文件。尽管利用热门电影传播恶意软件并非新鲜事，但专家指出，此次攻击的感染链设计之复杂、隐蔽性之高，在同类攻击中实属罕见。

Bitdefender 虽无法统计确切的中招人数，但数据显示该伪造种子已拥有数千个做种者（Seeders）和下载者（Leechers）。

与普通视频文件不同，该恶意种子包含一个视频文件、两张图片、一个字幕文件（Part2.subtitles.srt）以及一个伪装成电影启动器的快捷方式（CD.lnk），攻击的核心在于那个看似普通的字幕文件。

当用户点击 “CD.lnk” 快捷方式后，实际上是执行了一串 Windows 命令。该命令会精准定位并提取字幕文件中第 100 至 103 行之间隐藏的恶意 PowerShell 脚本。由于大多数杀毒软件不会将文本格式的字幕视为威胁源，因此这一过程完全绕过了传统的安全扫描。

被激活的 PowerShell 脚本会进一步解密字幕文件中经过 AES 加密的数据块，重构出五个新的脚本文件并释放到系统目录中。随后，攻击进入复杂的五个阶段：

首先利用解压工具处理视频文件存档；

接着创建隐藏的计划任务以确保持久化运行；

紧接着，脚本会从附带的 JPG 图片文件中解码出二进制数据，这意味着黑客甚至将恶意代码 ” 隐写 ” 在了电影海报里；

脚本会检查 Windows Defender 状态，安装 Go 语言环境；

最终的攻击载荷直接加载到内存中运行。

这一繁杂攻击链的最终目的是植入 “Agent Tesla”。这是一种自 2014 年以来就活跃在网络犯罪领域的 Windows 远程访问木马（RAT）和信息窃取程序。尽管它不是新型病毒，但因其极高的可靠性和易部署性，至今仍被广泛使用。

设备一旦感染，Agent Tesla 能够窃取受害者的浏览器记录、电子邮件登录凭证、FTP 和 VPN 账户信息，甚至能实时截取屏幕画面，将用户的隐私数据传输给攻击者。

Bitdefender 进一步指出，这种攻击手法并非个例。在其他热门电影（如《碟中谍：最终清算》）的盗版资源中，研究人员也发现了类似的攻击活动，只不过植入的是 Lumma Stealer 等其他类型的窃密软件。

END

阅读推荐

【安全圈】React再曝新高危漏洞，可致拒绝服务攻击与源代码泄露

【安全圈】黑客成功“欺骗” ChatGPT、Grok、谷歌，诱导其辅助安装恶意软件

【安全圈】导致 160 万用户数据被盗，LastPass 在英国被重罚 120 万英镑

【安全圈】”迷人小猫”黑客组织数据泄露：核心成员、空壳公司与数千台受控系统曝光

【安全圈】“信息贩子”终落网，“捞金欲梦”终成空

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

查看原文：《【安全圈】黑客新套路：利用莱昂纳多主演新电影，连环设陷入侵你的电脑》