На страницах портала Госуслуг РФ обнаружен посторонний вредоносный код

1 месяц ago admin 0

На сайте государственных услуг Российской Федерации (gosuslugi.ru) наблюдается наличие вредоносных iframe-блоков, через которые загружается контент с сайтов злоумышленников и обрабатывается в рамках текущего сеанса. Обращение производится к доменам, состоящим из хаотичного набора символов (например, u7yb1iy1x3xv.ru или m81jmqmn.ru) c которых загружается файл «f.html». Примечательно, что служба поддержки gosuslugi.ru никак не отреагировала на сообщение о проблеме и вредоносный код находится на сайте до сих пор.

В настоящее время через данную вредоносную вставку производится DDoS-атака на один из украинских сайтов: при запросе /f.html выдаётся редирект на атакуемый сайт, который наводняется запросами, образуемыми при обработке iframe-блоков в процессе открытия страниц на gosuslugi.ru. При желании контролирующие атаку злоумышленники могут выполнить любой JavaScript код в контексте сеанса на сайте и атаковать необновлённый браузер посетителя, получить доступ к информации на странице или изменить её содержимое (например, добавить подставную форму ввода).

Но, судя по всему, атака не целевая, а типовая, так как подстановка аналогичного кода фиксируется хостинг-операторами с 2015 года на многих сайтах клиентов. В ранее наблюдаемых подобных случаях подстановка iframe-блока осуществлялась в процессе редактирования текста через web-интерфейс на локальной системе оператора, поражённой вредоносным ПО.

На страницах портала Госуслуг РФ обнаружен посторонний вредоносный кодНа страницах портала Госуслуг РФ обнаружен посторонний вредоносный код

   $ curl -I m81jmqmn.ru/f.html   HTTP/1.1 302 Found   Server: nginx/1.10.2   Date: Thu, 13 Jul 2017 17:53:15 GMT   Content-Type: text/html; charset=iso-8859-1   Connection: keep-alive   Location: http://k****i.com/  


Source: pirates.in.ua