В конце мая 2020 года ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа. Многие из этих портов были связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее.

Как оказалось, аукцион использовал для этого скрипт ThreatMetrix, созданный компанией LexisNexis и применяемый для обнаружения мошенников. Хотя eBay, по сути, ищет известные и легитимные программы для удаленного доступа и администрирования, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях.

Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже. Журналисты Bleeping Computer так и не смогли определить программу на порту 63333. Основываясь на идентификаторе «REF» они предполагают, что это контрольный порт для тестов.

Программа Обозначение Ebay Порт
Неизвестно REF 63333
VNC VNC 5900
VNC VNC 5901
VNC VNC 5902
VNC VNC 5903
Remote Desktop Protocol RDP 3389
Aeroadmin ARO 5950
Ammyy Admin AMY 5931
TeamViewer TV0 5939
TeamViewer TV1 6039
TeamViewer TV2 5944
TeamViewer TV2 6040
Anyplace Control APC 5279
AnyDesk ANY 7070

 

Дальнейшее изучение проблемы показало, что аналогичное поведение демонстрируют сайты таких крупных компаний, как Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree и WePay.

Хотя сканирование осуществляется по уважительным причинам, многие по праву сочли подобное поведение излишне навязчивыми и нарушающими конфиденциальность. Бороться с этим предлагалось, в частности, посредством блокировщика uBlock Origin.

Теперь же Bleeping Computer пишет, что эксперт компании MindedSecurity создал браузерное расширение Behave, которое предупредит пользователей о подобной активности. Инструмент уже доступен для Chrome и Firefox, в планах у разработчика выпуск версий для Edge и Safari.

Глава MindedSecurity и разработчик расширения Стефано Ди Паола (Stefano Di Paola) рассказывает, что расширение Behave появилось на свет в качестве концептуального эксперимента по выявлению разных злоупотреблений со стороны веб-страниц. Разработчик обещает, что если пользователи проявят интерес к его детищу, оно продолжит расти и развиваться, а в конечном итоге может превратиться в полноценный проект, направленный на повышение осведомленности.

«Например, локальное сканирование портов, кросс-протоколные атаки, перепривязка DNS — все это очень старые атаки, которые по-прежнему возможны, а ­поставщиками браузеров очень трудно их исправить, поскольку они злоупотребляют базовыми функциями веб-экосистемы», — говорит Стефано Ди Паола.

В настоящее время Behave отслеживает скрипты, которые пытаются получить доступ к IP-адресам следующих блоков:

  • Loopback-адреса IPv4 127.0.0.1/8
  • Loopback-адреса IPv6 ::1/128
  • Частные сети IPv4 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16
  • Уникальные локальные адреса IPv6 fc00::/7

В случае обнаружения подозрительной активности значок расширения отобразит красный индикатор, при клике по которому будет отображаться активность, выполненная сайтом. Также расширение может отображать уведомления в браузере при обнаружении нарушений.

Следует отметить, что пока в расширении присутствует небольшой баг, который может приводить к ложным срабатываниям и предупреждениям о перепривязке DNS. Ди Паола уверяет, что уже исправил ошибку и ожидает, чтобы в Google одобрили новую версию.

В ближайшем будущем эксперт MindedSecurity планирует добавить к расширению белые списки для веб-страниц и hostname’ов, которые могут выполнять локальные соединения, а также возможность обнаруживать код, выполняющий подозрительные действия.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии