Atac de pesca "Navegador-en-el-Navegador".

Els estafadors utilitzen una nova tècnica de pesca coneguda com a navegador al navegador per obtenir les credencials confidencials del compte de les seves víctimes. Fins ara, els atacants sembla que es dirigeixen principalment als usuaris de Steam i als jugadors professionals. És probable que s'ofereixin a la venda qualsevol compte compromès, ja que s'estima que alguns comptes de Steam destacats tenen un valor d'entre 100.000 i 300.000 dòlars.

Steam és la plataforma de distribució digital més gran per a jocs per a PC i el seu desenvolupador Valve Corporation també posseeix alguns dels títols esportius més importants del món, com ara CS: GO i DOTA 2. Els atacs de pesca del navegador al navegador comencen amb missatges d'esquer. enviat directament als usuaris mitjançant Steam. Els estafadors conviden les seves víctimes a unir-se a un equip per a un joc competitiu popular (LoL, CS, DOTA 2, PUBG) i participar en un suposat torneig. L'enllaç que es troba al missatge de l'esquer portarà les víctimes insospitades a un lloc fals, dissenyat per aparèixer com si pertanyés a una organització que allotja competicions esportives. Quan els usuaris intentin unir-se a un equip, se'ls demanarà que iniciïn sessió mitjançant el seu compte de Steam.

Aquí és on entra en joc la tècnica Browser-in-the-Browser. En lloc de la finestra d'inici de sessió legítima que normalment es superposa al lloc web existent, les víctimes rebran una finestra falsa creada a la pàgina actual. Detectar que alguna cosa no funciona és extremadament difícil, ja que la finestra falsa és visualment idèntica a la real i la seva URL coincideix amb l'adreça legítima. Les pàgines de destinació fins i tot poden triar entre 27 idiomes diferents per coincidir amb el predeterminat utilitzat per les seves víctimes.

Un cop introduïdes les credencials del compte, es mostrarà un nou missatge que demana un codi 2FA (autenticació de dos factors). Si no proporcioneu el codi correcte, apareixerà un missatge d'error. Si els usuaris passen l'autenticació, seran redirigits a una nova adreça que determini el servidor d'ordres i control (C2) de l'operació. Normalment, aquesta adreça pertany a un lloc web legítim com una manera d'emmascarar les accions dels estafadors. Tanmateix, en aquest moment, les credencials de la víctima ja s'han compromès i s'han transmès als actors de l'amenaça.

Els detalls sobre la tècnica de pesca del navegador-in-the-browser i l'operació d'atac en conjunt es van revelar al públic en un informe dels investigadors de seguretat. Segons les seves troballes, el kit de pesca utilitzat a la campanya de Steam no està disponible per a la venda als fòrums de pirateria. En canvi, es manté dins d'un cercle estret de ciberdelinqüents que coordinen les seves activitats als canals de Discord o Telegram.