Прошло чуть больше месяца с момента запуска и за такой короткий период времени мы достигли отметки в 1 тысячу пользователей,, спасибо. что выбираете Proxyshard.com🚀
В честь этого мы дарим вам промокод - 1k, который даёт скидку 20% до 3 марта.

Добавление новых регионов затянулось из-за некоторых юридических проблем, но мы практически решили их и в марте будут запущены две новые локации - Нидерланды и Украина.

Для инфлюенсеров напоминаю, что у нас действует двухуровневая реферальная система на индивидуальных условиях. Для уточнения деталей обращайтесь в лс @Kr1ts

P.s На скриншоте айпи датацентр проксей

Вскрылась ещё одна интересная деталь, которая позволяет получить полный доступ к системе.

Всё так же по старой схеме - человек заходит на сайт, злоумышленник получает доступ ко всем профилям жертвы, но за место того чтобы копаться с расширениями через любой запущенный профиль, либо он сам может открыть профиль и загрузить любой файл на компьютер. В системные директории, тот же Startup, загрузить не получится, но можно загрузиться на рабочий стол или в любую другую папку, которая не требует админ прав.

Эта дыра открывает огромное количество возможностей для злоумышленника, склепать бинарник и замаскировать его под любое приложение (гугл, телега, дискорд и тд) и закинуть его на рабочий стол, чтобы жертва его открыла, - не проблема

Советую всем кто до сих пор пользуется ADS заменить его на некоторое время чем-нибудь другим, либо не посещать сомнительные сайты. Чтобы быть атакованным достаточно открыть сайт в любом браузере, хроме, мозиле и тд, не только в ADS

P.s на скрине попытка загрузить файл в Startup, в него загрузить нельзя, но в другие директории можно

Кого задрейнили, проголосуйте, нужно проверить теорию, если подтвердится, то будем дальше это двигать

Для тех кто задаётся вопросом - что делать если меня не задрейнили?

Если вы собираетесь использовать ADS после того как команда даст анонсы и проведёт аудиты, то до этого момента не стоит запускать ADS, либо заходить на левые сайты, либо временно удалить оттуда все кошельки и аккаунты бирж, т.к до сих пор есть уязвимость, при помощи которой можно получить доступ к профилю так же через сайт-прослойку и puppeteer

UPD. Для тех кто сомневается в том что реально с сайта на локал хост достучаться, отправил тестовый сайт с инжектом через iframe в комментарии к посту выше.
Сайт будет работать только час, залил на фри хост

Это пиздец

Решил я сегодня покопаться в ADS, чтобы разобраться из-за чего могла произойти утечка кошельков.
Вариант со взломом серверов сразу отбросил, т.к шанс этого крайне мал, и не зря.

Сразу вспомнил про массовый дрейн летом 23 года и их локальную апишку. Тогда я нашёл локальную апишку, которая запускается из под процесса AdsPower на localhost:50325 , но не придал уделил особого внимания, т.к подумал что это апи для управления через puppeteer.
Сейчас решил сразу проверить её и просканить её роуты, сразу же попал на роут /status, сразу смутило то что на нём не было никакой авторизации.
После этого вскрыл asar файл и нашёл все остальные роуты этой апи - "/api/v1/browser/start","/api/v1/browser/stop","/api/v1/browser/active","/api/v1/browser/local-active" и все они так же работали без авторизации, но это не самое интересное, у этой апи были роуты - "/api/v1/browser/cloud-active","/api/v1/user/create","/api/v1/user/update","/api/v1/user/delete", которые сейчас удалены из локал апи в последних версиях ADS.
Эти и другие роуты давали полный доступ к управлению профилями и самый пиздец в том, что они не имеют проверку авторизации. Это даёт возможностью любому человеку поднять сайт, который будет инжектить js/wasm скрипт и в обход CORS обращаться к этой локальной апи из браузера и вносить какие-то изменения в профиль или собирать данные и отправлять на сервер злоумышленника.

На текущий момент все самые опасные роуты вырезаны, но я не исключаю возможность заражения машин, на которых был задрейнен ADS, т.к методы для создания профилей работают с файлововой системой напрямую и есть вероятность что там тоже была какая-то дыра.

Все скриншоты с расследования будут в комментариях, включая тест вызова локальной апи с сайта, как и вероятно производилась атака