محققان ترندمیکرو دریافتند که مهاجمان از واژهپرداز Hangul و زبان برنامهنویسی پستاسکریپت برای توزیع بدافزار سوءاستفاده میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کارشناسان ترندمیکرو حملات بدافزاری را گزارش کردند که برای هدف قرار دادن کاربران از برنامه واژهپرداز Hangul استفادهمیکنند. مهاجمان بار دیگر برنامه واژهپرداز HWP را برای هدف قرار دادن کاربران در کره جنوبی استفاده کردند. این برنامه در کره جنوبی بسیار محبوب است و در چندین عملیات نفوذ علیه اشخاص کشور مورد بهرهبرداری قرار گرفتهاست. در حملات اخیر، نفوذگران از واژهپرداز Hangul همراه با زبان برنامهنویسی پستاسکریپت استفاده میکنند. مهاجمان از ایمیلهایی که پیوستهای مخرب دارند برای ارائه این بدافزار استفاده میکنند.
ترندمیکرو در بیانیهای اعلام کرد: «یک نسخه با نام پستاسکریپت بستهبندیشده در پستاسکریپت وجود دارد که محدودیتهایی را به کدی که ممکن است درحال اجرا باشد، اضافه میکند. قرار است باز کردن اسناد امنتر شود، اما متاسفانه نسخههای قدیمیتر HWP این محدودیتها را بهطور نامناسبی پیادهسازی کردهاند. ما بررسی پیوستهای شامل پستاسکریپت مخربی را که برای نصب کلیدهای میانبر یا پروندههای مخرب حقیقی در سامانه مورد نفوذ، استفاده میشوند، شروع کردهایم.»
اگرچه پستاسکریپت بستهبندیشده، زمان باز کردن یک سند، محدودیتهایی را به امن کردن سامانه اضافه میکند، نسخههای قدیمیتر HWP این محدودیت را به طور نامناسبی پیادهسازی کردهاند. مهاجمان به استفاده از پیوستهای حاوی پستاسکریپت مخرب برای قرار دادن کلیدهای میانبر یا پروندههای مخرب بر روی سامانه تحت نفوذ روی آوردهاند.
کارشناسان این نکته را یادآور شدند که بعضی از این خطهای عنوان و نامهای اسناد که توسط مهاجمان مورد استفاده قرار گرفتهبودند شامل «بیتکوین» و «استانداردسازی امنیت مالی» بودند.
محققان تأکید کردند که مهاجمان از یک بهرهبرداری واقعی استفاده نمیکنند، اما از یک ویژگی پستاسکریپت برای دستکاری پروندهها سوءاستفاده میکنند. پستاسکریپت قادر به اجرای دستورات شل نیست، اما مهاجمان با قرار دادن پروندههایی در پوشههای راهاندازی مختلف، رفتار مشابهی را فراهم میکنند، سپس زمانیکه کاربر ماشین را دوباره راهاندازی میکند، این پروندهها اجرا میشوند.
چند مورد از راههای مشاهدهشده در بررسیها که در این تحلیل آمدهاست به شرح زیر است:
۱) یک کلید میانبر در پوشه راهاندازی قرار میدهند که MSHTA.exe را اجرا میکند تا یک پرونده جاوااسکریپت را اجرا کند.
۲) یک کلید میانبر در پوشه راهاندازی و یک پرونده DLL در مسیر ٪ Temp٪ قرار میدهند. این کلید میانبر، rundll۳۲.exe را برای اجرای پرونده DLL ذکر شده، فراخوانی میکند.
۳) یک پرونده قابل اجرا در پوشه راهاندازی قرار میدهند.
یکی از حملات مشاهدهشده توسط محققان ترندمیکرو، پرونده gswin۳۲c.exe را بازنویسی میکند که در آن مفسر پستاسکریپت توسط برنامه واژهپرداز Hangul استفاده میشود. این پرونده با یک نسخه قانونی Calc.exe جایگزین شدهاست و به این ترتیب مهاجمان از اجرای دیگر محتوای پستاسکریپت جاسازیشده جلوگیری میکنند. نسخههای جدیدتر واژهپرداز Hangul، راهکار EPS را بهدرستی پیادهسازی کردهاند و به همین دلیل کاربران برای اینکه ایمن بمانند باید این برنامه را ارتقا دهند.