На сайте госуслуг нашли код, способный воровать данные пользователей

Компания «Доктор Веб» заявила о том, что портал государственных услуг Российской Федерации (gosuslugi.ru) скомпрометирован и может в любой момент начать заражать компьютеры пользователей.

Специалисты компании обнаружили на сайте внедренный неизвестными потенциально вредоносный код. Как отмечается в сообщении «Доктор Веб», информация передана в техническую поддержку сайта, но администрация ресурса не отреагировала на нее и поэтому было решено прибегнуть к публичному информированию об угрозе.

Специалисты не смогли определить дату начала компрометации, а также прошлую активность по этому вектору атаки. Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса намеренно неинформативных наименований. Как минимум для 5 из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах.

За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен либо не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.

Источник новости: Доктор Веб