На сайте правительства Казахстана обнаружены документы с вредоносным ПО

На сайте правительства Казахстана обнаружены документы с вредоносным ПО

Alexander Antipov

Открытие документов устанавливает вредоносное ПО Razy на системах пользователей.

image

На официальном сайте правительства Казахстана на протяжении более пяти месяцев были размещены документы, зараженные вредоносным ПО. Специалисты ИБ-фирм T&T Security и Zerde Holding обнаружили по крайней мере два документа, загруженных в правительственные юридические и бюджетные разделы, которые устанавливали версию вредоносного ПО Razy на системах пользователей.

Файлы были доступны через официальный портал правительства Казахстана eGov.kz, где граждане могут зарегистрироваться для подачи налоговой декларации, взаимодействия с различными государственными органами и загрузки официальных документов. При попытке загрузить файлы пользователям предлагалось запустить вредоносный EXE-файл. При запуске такого файла пользователь увидит открывшийся офисный документ, в то время как вредоносный EXE-файл будет совершать преступные операции.

Вредоносное ПО Razy было выявлено в 2015 году и обычно связано с финансово мотивированными кибероперациями. При этом подавляющее большинство его функций сосредоточено на хищении учетных данных из браузера и перехвате контроля над буфером обмена для замены адресов криптовалюты пользователей.

Как полагает исследователь в области кибербезопасности Матье Фау (Matthieu Faou) из компании ESET, это не целенаправленная вредоносная кампания какой-нибудь группировки. Вероятнее всего, компьютерные системы государственных служащих были заражены Razy через другие источники, а вредоносная программа использовала компонент распространения файлов FakeDoc для заражения других документов на устройстве. Документы, предположительно, были позже загружены на официальный портал eGov.kz.

на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.


Источник: Securitylab