Рекомендуем почитать:
В конце мая 2020 года ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа. Многие из этих портов были связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее.
Как оказалось, аукцион использовал для этого скрипт ThreatMetrix, созданный компанией LexisNexis и применяемый для обнаружения мошенников. Хотя eBay, по сути, ищет известные и легитимные программы для удаленного доступа и администрирования, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях.
Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже. Журналисты Bleeping Computer так и не смогли определить программу на порту 63333. Основываясь на идентификаторе «REF» они предполагают, что это контрольный порт для тестов.
| Программа | Обозначение Ebay | Порт |
| Неизвестно | REF | 63333 |
| VNC | VNC | 5900 |
| VNC | VNC | 5901 |
| VNC | VNC | 5902 |
| VNC | VNC | 5903 |
| Remote Desktop Protocol | RDP | 3389 |
| Aeroadmin | ARO | 5950 |
| Ammyy Admin | AMY | 5931 |
| TeamViewer | TV0 | 5939 |
| TeamViewer | TV1 | 6039 |
| TeamViewer | TV2 | 5944 |
| TeamViewer | TV2 | 6040 |
| Anyplace Control | APC | 5279 |
| AnyDesk | ANY | 7070 |
Дальнейшее изучение проблемы показало, что аналогичное поведение демонстрируют сайты таких крупных компаний, как Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree и WePay.
Хотя сканирование осуществляется по уважительным причинам, многие по праву сочли подобное поведение излишне навязчивыми и нарушающими конфиденциальность. Бороться с этим предлагалось, в частности, посредством блокировщика uBlock Origin.
Теперь же Bleeping Computer пишет, что эксперт компании MindedSecurity создал браузерное расширение Behave!, которое предупредит пользователей о подобной активности. Инструмент уже доступен для Chrome и Firefox, в планах у разработчика выпуск версий для Edge и Safari.
Глава MindedSecurity и разработчик расширения Стефано Ди Паола (Stefano Di Paola) рассказывает, что расширение Behave! появилось на свет в качестве концептуального эксперимента по выявлению разных злоупотреблений со стороны веб-страниц. Разработчик обещает, что если пользователи проявят интерес к его детищу, оно продолжит расти и развиваться, а в конечном итоге может превратиться в полноценный проект, направленный на повышение осведомленности.
«Например, локальное сканирование портов, кросс-протоколные атаки, перепривязка DNS — все это очень старые атаки, которые по-прежнему возможны, а поставщиками браузеров очень трудно их исправить, поскольку они злоупотребляют базовыми функциями веб-экосистемы», — говорит Стефано Ди Паола.
В настоящее время Behave! отслеживает скрипты, которые пытаются получить доступ к IP-адресам следующих блоков:
В случае обнаружения подозрительной активности значок расширения отобразит красный индикатор, при клике по которому будет отображаться активность, выполненная сайтом. Также расширение может отображать уведомления в браузере при обнаружении нарушений.
Следует отметить, что пока в расширении присутствует небольшой баг, который может приводить к ложным срабатываниям и предупреждениям о перепривязке DNS. Ди Паола уверяет, что уже исправил ошибку и ожидает, чтобы в Google одобрили новую версию.
В ближайшем будущем эксперт MindedSecurity планирует добавить к расширению белые списки для веб-страниц и hostname’ов, которые могут выполнять локальные соединения, а также возможность обнаруживать код, выполняющий подозрительные действия.
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|