В конце мая 2020 года ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа. Многие из этих портов были связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее.
Как оказалось, аукцион использовал для этого скрипт ThreatMetrix, созданный компанией LexisNexis и применяемый для обнаружения мошенников. Хотя eBay, по сути, ищет известные и легитимные программы для удаленного доступа и администрирования, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях.
Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже. Журналисты Bleeping Computer так и не смогли определить программу на порту 63333. Основываясь на идентификаторе «REF» они предполагают, что это контрольный порт для тестов.
Программа | Обозначение Ebay | Порт |
Неизвестно | REF | 63333 |
VNC | VNC | 5900 |
VNC | VNC | 5901 |
VNC | VNC | 5902 |
VNC | VNC | 5903 |
Remote Desktop Protocol | RDP | 3389 |
Aeroadmin | ARO | 5950 |
Ammyy Admin | AMY | 5931 |
TeamViewer | TV0 | 5939 |
TeamViewer | TV1 | 6039 |
TeamViewer | TV2 | 5944 |
TeamViewer | TV2 | 6040 |
Anyplace Control | APC | 5279 |
AnyDesk | ANY | 7070 |
Чтобы узнать, какие еще сайты могут использовать этот скрипт, Bleeping Computer обратился за помощью к специалистам ИБ-компании DomainTools. Компания помогла изданию составить список из 387 аналогичных уникальных хостов на online-metrix.net. В частности, оказалось, что компьютеры пользователей сканируют скрипты на сайтах Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree и WePay.
Тогда журналисты протестировали несколько способов избавиться от такого наблюдения. Оказалось, что блокировщик рекламы uBlock Origin в браузере Firefox оказался способен заблокировать работу скрипта ThreatMetrix. Увы, но во время прочих тестов uBlock Origin не смог блокировать сканирование ни в новом Microsoft Edge, ни в Google Chrome.
Однако позже многие читатели сообщили, что uBlock Origin для Chrome все же смог заблокировать сканирование портов на eBay, и тогда журналисты связались с разработчиком блокировщика Раймондом Хиллом и спросили, не вносил ли тот какие-то изменения в код своего продукта. Теперь издание пишет, что создатель uBlock Origin ответил, что ничего не менялось, и предположил, что сайты могли сами отказаться от использования ThreatMetrix.
Хилл предложил журналистам использовать логи uBlock Origin, чтобы обнаружить правила, блокирующие скрип для сканирования портов. Таким образом удалось понять, что изначально eBay сканировал порты посетителей при посещении домашней страницы и прочих страниц сайта. Но теперь аукцион принес функцию сканирования портов на страницы оформления заказа.
Посмотрев логи после посещения страницы оформления заказа, исследователи увидели, что список фильтров EasyPrivacy блокирует скрипт-сканер, расположенный по адресу src.ebay-us.com/fp/check.js.
Изучение различных коммитов для списка EasyPrivacy, помогло понять, что скрипт для сканирования портов на eBay блокирует недавно добавленное правило.
Как показало изучение других сайтов, скрипт для сканирования портов блокировался фильтром, предназначенным для скрипта /fp/tags.js?, который использовался для запуска скрипта-сканера.
В итоге, благодаря новому фильтру, теперь EasyPrivacy блокирует сканирование портов на eBay, Ameriprise, Citi, TD Bank, Lendup, BeachBody, Equifax IQ Connect и Sky. К сожалению, правил для TIAA.org, Chick-Fil-A, Gumtree и WePay пока нет, и эти сайты по-прежнему изучают порты посетителей, даже если те используют расширение uBlock Origin.
Журналисты Bleeping Computer предприняли попытку связаться с операторами EasyList, однако пока не получили ответа.