HackerNews.cc 9 月 14 日消息,趋势科技( Trend Micro )研究人员近期发现黑客正以 “ 比特币 ” 或 “ 金融安全准则 ” 为主题分发附带恶意 PostScript 代码的文件,旨在感染韩文处理器(HWP)系统、展开网络钓鱼攻击活动。
图一:诱导文件样本
韩文处理器(HWP)是一款颇受韩国公民欢迎的文字处理应用程序,它具备运行 PostScript 代码的功能,这是一种最初用于打印与印刷系统的编程语言。另外,PostScript 的其中一个分支被称为 Encapsulated PostScript(被封装的 PostScript 格式),它增加了运行代码的限制范围,从而使部分文档的打开更加安全。但不幸的是,较老版本的 HWP 系统并未约束这些限制。
调查显示,此类攻击手段主要是利用恶意 PostScript 代码在受害设备上获取立足接入点,以便展开攻击活动。虽然 PostScript 无法执行 shell 命令,但它确实能够操控目标设备文件。此外,研究人员表示,攻击者入侵目标设备后,首先将系统文件丢弃到各种启动文件夹中,并在等待用户重启设备前使用不同攻击方式破坏系统,其攻击方式包括:
Ο 在启动文件夹中删除快捷方式执行 MSHTA.exe 文件。
Ο 删除启动文件夹中的快捷方式和%Temp%目录中的 DLL 文件。该快捷方式主要调用 rundll32.exe 执行 DLL 文件。
Ο 在启动文件夹中删除可执行文件。
图二: HWP 文件中的代码示例
目前,经调查显示,2014 年以后更新的版本不易受此类问题影响。因此,研究人员建议用户更新至最新版本,以防黑客攻击、保障系统安全。
稿源:Trend Micro,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接
请登录后发表评论
注册