Открытие документов устанавливает вредоносное ПО Razy на системах пользователей.
https://www.securitylab.ru/upload/ib...3f14d48eaa.jpg
На официальном сайте правительства Казахстана на протяжении более пяти месяцев были размещены документы, зараженные вредоносным ПО. Специалисты ИБ-фирм T&T Security и Zerde Holding обнаружили по крайней мере два документа, загруженных в правительственные юридические и бюджетные разделы, которые устанавливали версию вредоносного ПО Razy на системах пользователей.
Файлы были доступны через официальный портал правительства Казахстана eGov.kz, где граждане могут зарегистрироваться для подачи налоговой декларации, взаимодействия с различными государственными органами и загрузки официальных документов. При попытке загрузить файлы пользователям предлагалось запустить вредоносный EXE-файл. При запуске такого файла пользователь увидит открывшийся офисный документ, в то время как вредоносный EXE-файл будет совершать преступные операции.
Вредоносное ПО Razy было выявлено в 2015 году и обычно связано с финансово мотивированными кибероперациями. При этом подавляющее большинство его функций сосредоточено на хищении учетных данных из браузера и перехвате контроля над буфером обмена для замены адресов криптовалюты пользователей.
Как полагает исследователь в области кибербезопасности Матье Фау (Matthieu Faou) из компании ESET, это не целенаправленная вредоносная кампания какой-нибудь группировки. Вероятнее всего, компьютерные системы государственных служащих были заражены Razy через другие источники, а вредоносная программа использовала компонент распространения файлов FakeDoc для заражения других документов на устройстве. Документы, предположительно, были позже загружены на официальный портал eGov.kz.