Grandes sites estão fazendo varredura nos PCs de clientes

Views: 770
0 0
Read Time:1 Minute, 49 Second

Scanning feito por sites de grande popularidade busca portas abertas em uso por malwares

Sites com e-Bay, Netflix, Amazon e outros de grande tráfego estão fazendo varreduras nos PCs de clientes conectados, detectando suas portas abertas possivelmente para verificar se eles estão infectados com malware – e operando por meio dessas portas. A descoberta foi feita pelo pesquisador norte-americano Charlie Belmer e publicada em seu blog dez dias atrás com uma grande tela mostrando escaneamento feito pelo e-Bay. Na verdade, há pelo menos 387 sites fazendo isso, revelou o portal Bleeping Computer. Entre eles, Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree e WePay. Mas pode haver muito mais

A varredura, no caso do e-Bay, estava sendo feita pela ferramenta ThreatMetrix, da Lexis-Nexis, supostamente destinada a detectar computadores que podem fazer compras fraudulentas. Um recurso da ferramenta faz a varredura de 14 portas nos computadores dos clientes. Belmer podera que “uma lista de portas abertas oferece uma boa visão dos aplicativos em execução. Por exemplo, sabe-se que a plataforma de jogos Steam roda na porta 27036. Portanto, um scanner que vê essa porta aberta pode ter uma razoável certeza de que o usuário também abriu essa porta ao visitar o site”.

Todas as portas escaneadas são para programas de acesso remoto, usadas tanto para aplicações legítimas como também para ilegítimas. No caso da e-Bay, Belmer detectou estas varreduras:

  • 5900: VNC
  • 5901: VNC port 2
  • 5902: VNC port 3
  • 5903: VNC port 4
  • 5279:
  • 3389: Windows remote desktop / RDP
  • 5931: Ammy Admin remote desktop
  • 5939:  
  • 5944:
  • 5950: WinVNC  
  • 6039: X window system
  • 6040: X window system
  • 63333: TrippLite power alert UPS
  • 7070: RealAudio

Para ver que outros sites podem estar usando a ferramenta ThreatMetrix, o portal BleepingComputer consultou a empresa DomainTools, especializada em inteligência de ameaças de domínio da Web e DNS. A empresa revelou que a ferramenta é carregada em script por meio do online-metrix.net com um host name escolhido pelo cliente. Assim, o site do eBay, por exemplo, carrega o script ThreatMetrix em src.ebay-us.com, que tem um registro DNS CNAME para h-ebay.online-metrix.net.

Fonte: CISO Advisor

POSTS RELACIONADOS