ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа. Многие из этих портов связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее.

Ebay осуществляет сканирование при помощи скрипта check.js (архивная копия), который пытается подключиться к следующим портам:

Сканирование выполняется с использованием  WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже.

Программа Обозначение Ebay Порт
Неизвестно REF 63333
VNC VNC 5900
VNC VNC 5901
VNC VNC 5902
VNC VNC 5903
Remote Desktop Protocol RDP 3389
Aeroadmin ARO 5950
Ammyy Admin AMY 5931
TeamViewer TV0 5939
TeamViewer TV1 6039
TeamViewer TV2 5944
TeamViewer TV2 6040
Anyplace Control APC 5279
AnyDesk ANY 7070

 

Первым на эту странность обратил внимание ИБ-специалист, известный как Nullsweep. Он отмечает, что если открыть сайт с Linux-машины, сканирование не проводится. В общем-то это логично, ведь все сканируемые программы — это средства удаленного доступа для Windows.

Журналисты Bleeping Computer пишут, что впервые услышали о скрипте, сканирующем порты, от специалиста DarkNetDiaries Джека Рисайдера. Тот высказал предположение, что сканирование портов может осуществляться с целью доставки рекламы, фингерпринтинга или же для защиты от мошенничества.

Скорее всего, сканирование действительно проводится для обнаружения скомпрометированных компьютеров, используемых для мошенничества на eBay. Дело в том, что еще в 2016 году злоумышленники использовали TeamViewer для захвата чужих машин, опустошения счетов PayPal и заказа товаров с eBay и Amazon. Тогда даже была создана специальная таблица для отслеживания таких атак.

Теория о борьбе с мошенниками подтверждается еще одним ИБ-экспертом, Дэном Немеком, который на днях написал о странной активности eBay большой материал. Немек проследил используемый аукционом скрипт до продукта ThreatMetrix, который создан компанией LexisNexis и используется для обнаружения мошенников. И хотя сканер eBay, по сути, ищет известные и легитимные программы, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях.

Представители eBay ограничились обтекаемым комментарием по данному вопросу. Так, на вопрос журналистов Bleeping Computer о сканировании портов посетителей в компании ответили следующее:

«Конфиденциальность и данные наших клиентов являются нашим главным приоритетом. Мы стремимся создать на наших сайтах и сервисах атмосферу безопасности, удобства и надежности».

 

2 комментария

  1. Аватар

    pba

    01.06.2020 в 20:21

    еще в 2016 году злоумышленники использовали TeamViewer для захвата чужих машин, а в 2020 только расчехлились.деятели. я в 2016 ручками с этой гадостью боролся и поборол. и на хрена мне такая безопосность. 5 лет без антиаируса.

  2. Аватар

    Юрий Самойлов

    02.06.2020 в 10:31

    Такое уже было с Ростелекомом, тогда пресс-служба Ростелекома сообщила, что подобный скрипт используется как «антифрод-система для предотвращения онлайн-мошенничества» путем анализа пользовательской сессии.

Оставить мнение