هکرها از زبان برنامه‌نویسی PostScript برای توزیع بدافزار استفاده می‌کنند

کارشناسان امنیتی شرکت ترندمیکرو به تازگی خبر از شناسایی حمله‌ای داده‌اند که برای آسیب‌رساندن به کاربران از واژه‌پرداز Hangul استفاده می‌کند. تحلیل‌های انجام شده از سوی کارشناسان نشان می‌دهد کاربران کره جنوبی جزء اولین گروه از کاربرانی بودند که مورد حمله قرار گرفته‌اند.
در حمله‌ای که به تازگی شناسایی شده است هکرها از طریق به‌کارگیری واژه‌پرداز Hangul و زبان برنامه‌نویسی پست‌اسکرپیت اقدام به ارسال ایمیل‌هایی برای کاربران می‌کنند که حاوی بدافزار است. ترندمیکرو در این ارتباط گفته است: «در دنیای برنامه‌نویسی نسخه‌ای از زبان PostScript به نام پست‌اسکریپت کپسوله شده وجود دارد که قادر است یکسری محدودیت‌ها را به کدهایی که در حال اجرا هستند اضافه می‌کند.

محدودیت‌ها از آن جهت در نظر گرفته شده‌‌اند که به کاربران اطمینان دهند اسناد در حالت ایمنی باز می‌شوند. اما نسخه‌های قدیمی این زبان برنامه‌نویسی محدودیت‌های فوق را به شکل درستی پیاده‌سازی نکرده‌اند. تحلیل‌های ما نشان می‌دهد ضمیمه‌ایی که دربرگیرنده پست اسکریپت‌های آلوده هستند برای نصب کلیدهای میان‌بر یا فایل‌های مخرب واقعی در سیستمی که به آن نفوذ شده است به کار گرفته می‌شوند.

زبان Encapsulated PostScript در زمان باز کردن اسناد برای آن‌که سامانه‌های کاربران در معرض خطر قرار نگیرد یکسری محدودیت‌ها را اعمال می‌کند. اما نگارش‌های قدیمی این زبان موفق نشده‌اند این محدودیت‌ها را به شکل درستی پیاده‌سازی کنند. همین موضوع باعث شده است تا هکرها از طریق ضمیمه‌های حاوی فایل‌های پست‌اسکریپت آلوده بتوانند سامانه‌های قربانیان را آلوده سازند.» پژوهشگران ترندمیکرو اعلام داشته‌اند که عنوان یکسری از ایمیل‌ها و همچنین نام فایل‌های مخرب به عبارت‌های بیت‌کوین و استانداردسازی امنیت مالی اشاره دارد. با توجه به این‌که هکرها از یک اکسپلویت واقعی استفاده نمی‌کنند و از یک ویژگی PostScript برای دستکاری فایل‌ها استفاده می‌کنند در نتیجه ممکن است بتوانند از سد مکانیزم‌های امنیتی عبور کنند. پست اسکریپت نمی‌تواند دستورات شل را اجرا کند، اما هکرها توانستند این رفتار را شبیه‌سازی کنند. به عبارت دقیق‌تر هکرها از طریق قرار دادن فایل‌ها درون پوشه‌های مختلف راه‌انداز (startup) این‌ کار را ممکن کرده‌اند. در نتیجه زمانی که قربانی سامانه خود را راه‌اندازی مجدد می‌کند فایل‌های مخرب را نیز اجرا می‌کند. در یک نمونه از حملات شناسایی شده، هکرها موفق شده‌اند مفسر gwin32.exe را که واژه‌پرداز Hangul از آن استفاده می‌کند بازنویسی کنند. ترندمیکرو می‌گوید نسخه‌های جدیدتر واژه‌پرداز Hangul مکانیزم EPS را به شکل درستی به‌کار گرفته‌اند. بنابراین بهتر است کاربران از نسخه جدیدتر این واژه‌پرداز استفاده کنند.