0
0
Scanning feito por sites de grande popularidade busca portas abertas em uso por malwares
Sites com e-Bay, Netflix, Amazon e outros de grande tráfego estão fazendo varreduras nos PCs de clientes conectados, detectando suas portas abertas possivelmente para verificar se eles estão infectados com malware – e operando por meio dessas portas. A descoberta foi feita pelo pesquisador norte-americano Charlie Belmer e publicada em seu blog dez dias atrás com uma grande tela mostrando escaneamento feito pelo e-Bay. Na verdade, há pelo menos 387 sites fazendo isso, revelou o portal Bleeping Computer. Entre eles, Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree e WePay. Mas pode haver muito mais
A varredura, no caso do e-Bay, estava sendo feita pela ferramenta ThreatMetrix, da Lexis-Nexis, supostamente destinada a detectar computadores que podem fazer compras fraudulentas. Um recurso da ferramenta faz a varredura de 14 portas nos computadores dos clientes. Belmer podera que “uma lista de portas abertas oferece uma boa visão dos aplicativos em execução. Por exemplo, sabe-se que a plataforma de jogos Steam roda na porta 27036. Portanto, um scanner que vê essa porta aberta pode ter uma razoável certeza de que o usuário também abriu essa porta ao visitar o site”.
Todas as portas escaneadas são para programas de acesso remoto, usadas tanto para aplicações legítimas como também para ilegítimas. No caso da e-Bay, Belmer detectou estas varreduras:
- 5900: VNC
- 5901: VNC port 2
- 5902: VNC port 3
- 5903: VNC port 4
- 5279:
- 3389: Windows remote desktop / RDP
- 5931: Ammy Admin remote desktop
- 5939:
- 5944:
- 5950: WinVNC
- 6039: X window system
- 6040: X window system
- 63333: TrippLite power alert UPS
- 7070: RealAudio
Para ver que outros sites podem estar usando a ferramenta ThreatMetrix, o portal BleepingComputer consultou a empresa DomainTools, especializada em inteligência de ameaças de domínio da Web e DNS. A empresa revelou que a ferramenta é carregada em script por meio do online-metrix.net com um host name escolhido pelo cliente. Assim, o site do eBay, por exemplo, carrega o script ThreatMetrix em src.ebay-us.com, que tem um registro DNS CNAME para h-ebay.online-metrix.net.
Fonte: CISO Advisor