Фишинг атака „браузър в браузъра“.

Измамниците използват нова техника за фишинг, известна като браузър в браузъра, за да получат поверителни идентификационни данни за акаунт от своите жертви. Засега изглежда, че нападателите са насочени главно към потребителите на Steam и професионалните геймъри. Вероятно всички компрометирани акаунти ще бъдат предложени за продажба, тъй като някои известни Steam акаунти са оценени на стойност между $100 000 и $300 000.

Steam е най-голямата дигитална платформа за дистрибуция на компютърни игри и нейният разработчик Valve Corporation също притежава някои от най-големите електронни спортове в света, като CS: GO и DOTA 2. Фишинг атаките Browser-in-the-Browser започват със съобщения за стръв изпраща се директно на потребителите чрез Steam. Измамниците канят своите жертви да се присъединят към отбор за популярна състезателна игра (LoL, CS, DOTA 2, PUBG) и да участват в предполагаем турнир. Връзката, намерена в съобщението за примамка, ще отведе нищо неподозиращите жертви до фалшив сайт, предназначен да изглежда така, сякаш принадлежи на организация, хостваща състезания по електронни спортове. Когато потребителите се опитат да се присъединят към екип, те ще бъдат подканени да влязат чрез своя Steam акаунт.

Тук влиза в действие техниката „Браузър в браузъра“. Вместо легитимния прозорец за влизане, който обикновено се наслагва върху съществуващия уебсайт, на жертвите ще бъде представен фалшив прозорец, създаден в текущата страница. Забелязването, че нещо не е наред, е изключително трудно, тъй като фалшивият прозорец е визуално идентичен с истинския и URL адресът му съвпада с легитимния адрес. Целевите страници дори могат да избират между 27 различни езика, за да съответстват на този по подразбиране, използван от техните жертви.

След като идентификационните данни на акаунта бъдат въведени, ще се покаже нова подкана с искане за 2FA (двуфакторно удостоверяване) код. Неуспехът да предоставите правилния код ще доведе до съобщение за грешка. Ако потребителите преминат удостоверяването, те ще бъдат пренасочени към нов адрес, който се определя от командния и контролен (C2) сървър на операцията. Обикновено този адрес принадлежи на законен уебсайт като начин да се маскират действията на измамниците. В този момент обаче идентификационните данни на жертвата вече са били компрометирани и предадени на участниците в заплахата.

Подробности за техниката за фишинг „Браузър в браузъра“ и операцията на атаката като цяло бяха разкрити на обществеността в доклад на изследователи по сигурността. Според техните констатации комплектът за фишинг, използван в кампанията на Steam, не е достъпен за продажба на хакерски форуми. Вместо това се държи в тесен кръг от киберпрестъпници, които координират дейностите си в каналите на Discord или Telegram.