ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа. Многие из этих портов связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее.
Ebay осуществляет сканирование при помощи скрипта check.js (архивная копия), который пытается подключиться к следующим портам:
Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже.
Первым на эту странность обратил внимание ИБ-специалист, известный как Nullsweep. Он отмечает, что если открыть сайт с Linux-машины, сканирование не проводится. В общем-то это логично, ведь все сканируемые программы — это средства удаленного доступа для Windows.
Журналисты Bleeping Computer пишут, что впервые услышали о скрипте, сканирующем порты, от специалиста DarkNetDiaries Джека Рисайдера. Тот высказал предположение, что сканирование портов может осуществляться с целью доставки рекламы, фингерпринтинга или же для защиты от мошенничества.
Скорее всего, сканирование действительно проводится для обнаружения скомпрометированных компьютеров, используемых для мошенничества на eBay. Дело в том, что еще в 2016 году злоумышленники использовали TeamViewer для захвата чужих машин, опустошения счетов PayPal и заказа товаров с eBay и Amazon. Тогда даже была создана специальная таблица для отслеживания таких атак.
Теория о борьбе с мошенниками подтверждается еще одним ИБ-экспертом, Дэном Немеком, который на днях написал о странной активности eBay большой материал. Немек проследил используемый аукционом скрипт до продукта ThreatMetrix, который создан компанией LexisNexis и используется для обнаружения мошенников. И хотя сканер eBay, по сути, ищет известные и легитимные программы, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях.
Представители eBay ограничились обтекаемым комментарием по данному вопросу. Так, на вопрос журналистов Bleeping Computer о сканировании портов посетителей в компании ответили следующее:
«Конфиденциальность и данные наших клиентов являются нашим главным приоритетом. Мы стремимся создать на наших сайтах и сервисах атмосферу безопасности, удобства и надежности».
© https://xakep.ru/2020/05/26/ebay-scaner/
Последнее редактирование:
