IT之家援引博文介绍，该团队在监测该电影相关的威胁激增时，截获了一个伪造的种子文件。尽管利用热门电影传播恶意软件并非新鲜事，但专家指出，此次攻击的感染链设计之复杂、隐蔽性之高，在同类攻击中实属罕见。

　　Bitdefender 虽无法统计确切的中招人数零度vpn官网安卓，但数据显示该伪造种子已拥有数千个做种者（Seeders）和下载者（Leechers）。

　　与普通视频文件不同，该恶意种子包含一个视频文件、两张图片、一个字幕文件（Part2.subtitles.srt）以及一个伪装成电影启动器的快捷方式（CD.lnk），攻击的核心在于那个看似普通的字幕文件。

　　当用户点击“CD.lnk”快捷方式后，实际上是执行了一串 Windows 命令。该命令会精准定位并提取字幕文件中第 100 至 103 行之间隐藏的恶意 PowerShell 脚本。由于大多数杀毒软件不会将文本格式的字幕视为威胁源，因此这一过程完全绕过了传统的安全扫描。

　　被激活的 PowerShell 脚本会进一步解密字幕文件中经过 AES 加密的数据块，重构出五个新的脚本文件并释放到系统目录中。随后，攻击进入复杂的五个阶段：

　　这一繁杂攻击链的最终目的是植入“Agent Tesla”。这是一种自 2014 年以来就活跃在网络犯罪领域的 Windows 远程访问木马（RAT）和信息窃取程序。尽管它不是新型病毒，但因其极高的可靠性和易部署性，至今仍被广泛使用。

　　设备一旦感染，Agent Tesla 能够窃取受害者的浏览器记录、电子邮件登录凭证、FTP 和 VPN 账户信息，甚至能实时截取屏幕画面，将用户的隐私数据传输给攻击者。

　　Bitdefender 进一步指出，这种攻击手法并非个例。在其他热门电影（如《碟中谍：最终清算》）的盗版资源中，研究人员也发现了类似的攻击活动，只不过植入的是 Lumma Stealer 等其他类型的窃密软件。