ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа. Многие из этих портов связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее.
Ebay осуществляет сканирование при помощи скрипта check.js (архивная копия), который пытается подключиться к следующим портам:
Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже.
Программа | Обозначение Ebay | Порт |
Неизвестно | REF | 63333 |
VNC | VNC | 5900 |
VNC | VNC | 5901 |
VNC | VNC | 5902 |
VNC | VNC | 5903 |
Remote Desktop Protocol | RDP | 3389 |
Aeroadmin | ARO | 5950 |
Ammyy Admin | AMY | 5931 |
TeamViewer | TV0 | 5939 |
TeamViewer | TV1 | 6039 |
TeamViewer | TV2 | 5944 |
TeamViewer | TV2 | 6040 |
Anyplace Control | APC | 5279 |
AnyDesk | ANY | 7070 |
Первым на эту странность обратил внимание ИБ-специалист, известный как Nullsweep. Он отмечает, что если открыть сайт с Linux-машины, сканирование не проводится. В общем-то это логично, ведь все сканируемые программы — это средства удаленного доступа для Windows.
Журналисты Bleeping Computer пишут, что впервые услышали о скрипте, сканирующем порты, от специалиста DarkNetDiaries Джека Рисайдера. Тот высказал предположение, что сканирование портов может осуществляться с целью доставки рекламы, фингерпринтинга или же для защиты от мошенничества.
Скорее всего, сканирование действительно проводится для обнаружения скомпрометированных компьютеров, используемых для мошенничества на eBay. Дело в том, что еще в 2016 году злоумышленники использовали TeamViewer для захвата чужих машин, опустошения счетов PayPal и заказа товаров с eBay и Amazon. Тогда даже была создана специальная таблица для отслеживания таких атак.
Теория о борьбе с мошенниками подтверждается еще одним ИБ-экспертом, Дэном Немеком, который на днях написал о странной активности eBay большой материал. Немек проследил используемый аукционом скрипт до продукта ThreatMetrix, который создан компанией LexisNexis и используется для обнаружения мошенников. И хотя сканер eBay, по сути, ищет известные и легитимные программы, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях.
Представители eBay ограничились обтекаемым комментарием по данному вопросу. Так, на вопрос журналистов Bleeping Computer о сканировании портов посетителей в компании ответили следующее:
«Конфиденциальность и данные наших клиентов являются нашим главным приоритетом. Мы стремимся создать на наших сайтах и сервисах атмосферу безопасности, удобства и надежности».