ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт e.b.a.y.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа. Многие из этих портов связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее.
e.b.a.y осуществляет сканирование при помощи скрипта check.js (архивная копия), который пытается подключиться к следующим портам:
Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже.
Первым на эту странность обратил внимание ИБ-специалист, известный как Nullsweep. Он отмечает, что если открыть сайт с Linux-машины, сканирование не проводится. В общем-то это логично, ведь все сканируемые программы — это средства удаленного доступа для Windows.
Журналисты Bleeping Computer пишут, что впервые услышали о скрипте, сканирующем порты, от специалиста DarkNetDiaries Джека Рисайдера. Тот высказал предположение, что сканирование портов может осуществляться с целью доставки рекламы, фингерпринтинга или же для защиты от мошенничества.
Скорее всего, сканирование действительно проводится для обнаружения скомпрометированных компьютеров, используемых для мошенничества на e.b.a.y. Дело в том, что еще в 2016 году злоумышленники использовали TeamViewer для захвата чужих машин, опустошения счетов PayPal и заказа товаров с e.b.a.y и Amazon. Тогда даже была создана специальная таблица для отслеживания таких атак.
Теория о борьбе с мошенниками подтверждается еще одним ИБ-экспертом, Дэном Немеком, который на днях написал о странной активности e.b.a.y большой материал. Немек проследил используемый аукционом скрипт до продукта ThreatMetrix, который создан компанией LexisNexis и используется для обнаружения мошенников. И хотя сканер e.b.a.y, по сути, ищет известные и легитимные программы, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях.
Представители e.b.a.y ограничились обтекаемым комментарием по данному вопросу. Так, на вопрос журналистов Bleeping Computer о сканировании портов посетителей в компании ответили следующее:
e.b.a.y осуществляет сканирование при помощи скрипта check.js (архивная копия), который пытается подключиться к следующим портам:
Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже.
| Программа | Обозначение e.b.a.y | Порт |
| Неизвестно | REF | 63333 |
| VNC | VNC | 5900 |
| VNC | VNC | 5901 |
| VNC | VNC | 5902 |
| VNC | VNC | 5903 |
| Remote Desktop Protocol | RDP | 3389 |
| Aeroadmin | ARO | 5950 |
| Ammyy Admin | AMY | 5931 |
| TeamViewer | TV0 | 5939 |
| TeamViewer | TV1 | 6039 |
| TeamViewer | TV2 | 5944 |
| TeamViewer | TV2 | 6040 |
| Anyplace Control | APC | 5279 |
| AnyDesk | ANY | 7070 |
Первым на эту странность обратил внимание ИБ-специалист, известный как Nullsweep. Он отмечает, что если открыть сайт с Linux-машины, сканирование не проводится. В общем-то это логично, ведь все сканируемые программы — это средства удаленного доступа для Windows.
Журналисты Bleeping Computer пишут, что впервые услышали о скрипте, сканирующем порты, от специалиста DarkNetDiaries Джека Рисайдера. Тот высказал предположение, что сканирование портов может осуществляться с целью доставки рекламы, фингерпринтинга или же для защиты от мошенничества.
Скорее всего, сканирование действительно проводится для обнаружения скомпрометированных компьютеров, используемых для мошенничества на e.b.a.y. Дело в том, что еще в 2016 году злоумышленники использовали TeamViewer для захвата чужих машин, опустошения счетов PayPal и заказа товаров с e.b.a.y и Amazon. Тогда даже была создана специальная таблица для отслеживания таких атак.
Теория о борьбе с мошенниками подтверждается еще одним ИБ-экспертом, Дэном Немеком, который на днях написал о странной активности e.b.a.y большой материал. Немек проследил используемый аукционом скрипт до продукта ThreatMetrix, который создан компанией LexisNexis и используется для обнаружения мошенников. И хотя сканер e.b.a.y, по сути, ищет известные и легитимные программы, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях.
Представители e.b.a.y ограничились обтекаемым комментарием по данному вопросу. Так, на вопрос журналистов Bleeping Computer о сканировании портов посетителей в компании ответили следующее:
