9 月 14 日消息，趋势科技（ Trend Micro ）研究人员近期发现黑客正以 “ 比特币 ” 或 “ 金融安全准则 ” 为主题分发附带恶意 PostScript 代码的文件，旨在感染韩文处理器（HWP）系统、展开网络钓鱼攻击活动。

图一：诱导文件样本

韩文处理器（HWP）是一款颇受韩国公民欢迎的文字处理应用程序，它具备运行 PostScript 代码的功能，这是一种最初用于打印与印刷系统的编程语言。另外，PostScript 的其中一个分支被称为 Encapsulated PostScript（被封装的 PostScript 格式），它增加了运行代码的限制范围，从而使部分文档的打开更加安全。但不幸的是，较老版本的 HWP 系统并未约束这些限制。

调查显示，此类攻击手段主要是利用恶意 PostScript 代码在受害设备上获取立足接入点，以便展开攻击活动。虽然 PostScript 无法执行 shell 命令，但它确实能够操控目标设备文件。此外，研究人员表示，攻击者入侵目标设备后，首先将系统文件丢弃到各种启动文件夹中，并在等待用户重启设备前使用不同攻击方式破坏系统，其攻击方式包括：

Ο 在启动文件夹中删除快捷方式执行 MSHTA.exe 文件。[出自:jiwo.org]
Ο 删除启动文件夹中的快捷方式和％Temp％目录中的 DLL 文件。该快捷方式主要调用 rundll32.exe 执行 DLL 文件。
Ο 在启动文件夹中删除可执行文件。

图二： HWP 文件中的代码示例

目前，经调查显示，2014 年以后更新的版本不易受此类问题影响。因此，研究人员建议用户更新至最新版本，以防黑客攻击、保障系统安全。