- Статус
- Offline
- Регистрация
- 22 Июн 2018
- Сообщения
- 1,508
- Реакции
- 13
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Эксперты пишут, что нашли как минимум два таких документа, расположенные по адресам:
- hxxps://legalacts.egov[.]kz/application/downloadnpa?id=5322314
- hxxps://budget.egov[.]kz/budgetfile/file?fileId=1520392
В отчете предполагается, что эта атака была нацелена на конкретные организации, которые могли использовать вышеупомянутые документы, то есть злоумышленники не пытались массово атаковать граждан Казахстана, а общедоступность документов, вероятно, была лишь побочным эффектом.
Аналитики отмечают, что злоумышленники часто распространяют Razy, используя так называемые watering hole атаки. Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещают намеченные ими жертвы.
Образцы семейства Razy, изученные специалистами, представляют собой обычный троян-загрузчик, который маскируется под офисные документы. В видео T&T Security демонстрирует, как при загрузке файлов пользователей побуждают запустить EXE-файл перед открытием запрошенного документа.
Razy активен примерно с 2015 года, но используется для атак по сей день. Его основная активность сосредоточена вокруг извлечения финансовой выгоды для своих операторов. Так, малварь ворует учетные данные из браузеров жертв и захватывает контроль над буфером обмена, чтобы подменять попадающие в него адресов криптовалютных кошельков.
Интересно, что эксперты компании ESET полагают, что обнаруженные документы не были частью какой-то таргетированной атаки. По их мнению, кто-то из госслужащих попросту заразился Razy, а малварь использовала компонент FakeDoc, который применяется для дальнейшего распространения. Он заразил другие документы, хранящиеся на машинах пострадавших, а затем эти файлы были загружены на официальный портал eGov.kz.
