На портале электронного правительства обнаружили вредоносное программное обеспечение, так называемое «семейство Razy», передает ИА «NewTimes.kz».
Как сообщает пресс-служба АО «НИХ «Зерде», образцы «семейства Razy» представляют собой троян-загрузчик, который маскируется под офисный документ (Word, Excel и Adobe PDF) для заражения пользователей.
«Зачастую злоумышленники распространяют Razy, используя способ, при котором вредоносное ПО располагается на официальных сайтах, таким образом, злоумышленник добивается эффекта доверия со стороны потенциальной жертвы», – уточнила пресс-служба инфокоммуникационного холдинга.
Отечественная антивирусная компания T&T Security совместно с «Зерде» разобрала несколько кейсов, но особо обратили внимание на метод атаки «на водопое» (watering hole attack) через портал электронного правительства.
«Злоумышленники получили доступ к загрузке файлов на сайт и опубликовали под видом офисных документов вредоносное программное обеспечение. Нужно отметить, что первый документ представляет собой постановление районного акимата, а второй — финансовую сводку по бюджету акимата», — разъяснили в «Зерде».
Это означает, что злоумышленники занимаются поиском подходящих для жертвы документов и последующим его встраиванием в конечный вредоносный файл.
На данный момент центр управления данных ВПО (C&C сервер) уже отключен, и эти объекты не могут загрузить дополнительный вредоносный функционал. Специалисты с целью локализации и блокировки данного вредоносного контента использовали систему tLab, которая успешно обнаруживает и блокирует угрозу.