Phishingový útok typu 'Browser-in-the-Browser'

Podvodníci používají novou techniku phishingu známou jako Browser-in-the-Browser k získání důvěrných přihlašovacích údajů k účtu od svých obětí. Zatím se zdá, že útočníci míří hlavně na uživatele Steamu a profesionální hráče. Je pravděpodobné, že jakékoli kompromitované účty budou nabídnuty k prodeji, protože některé prominentní účty na Steamu mají odhadovanou hodnotu mezi 100 000 a 300 000 $.

Steam je největší digitální distribuční platforma pro počítačové hry a její vývojář Valve Corporation také vlastní některé z největších esportových titulů na světě, jako jsou CS: GO a DOTA 2. Phishingové útoky typu Browser-in-the-Browser začínají návnadou zasílané přímo uživatelům přes Steam. Podvodníci zvou své oběti, aby se připojily k týmu pro populární soutěžní hru (LoL, CS, DOTA 2, PUBG) a zúčastnily se domnělého turnaje. Odkaz nalezený ve zprávě s návnadou zavede nic netušící oběti na falešnou stránku, která má vypadat, jako by patřila organizaci pořádající esportové soutěže. Když se uživatelé pokusí připojit k týmu, budou vyzváni, aby se přihlásili prostřednictvím svého účtu Steam.

Zde vstupuje do hry technika Browser-in-the-Browser. Místo legitimního přihlašovacího okna, které je obvykle překryto přes stávající web, se obětem zobrazí falešné okno vytvořené na aktuální stránce. Odhalit, že něco není v pořádku, je extrémně obtížné, protože falešné okno je vizuálně identické se skutečným a jeho URL odpovídá legitimní adrese. Vstupní stránky si dokonce mohou vybrat mezi 27 různými jazyky, aby odpovídaly výchozímu jazyku používanému jejich oběťmi.

Po zadání přihlašovacích údajů k účtu se zobrazí nová výzva k zadání kódu 2FA (dvoufaktorové ověření). Pokud nezadáte správný kód, zobrazí se chybová zpráva. Pokud uživatelé projdou ověřením, budou přesměrováni na novou adresu, kterou určí server Command-and-Control (C2) operace. Tato adresa obvykle patří legitimnímu webu jako způsob, jak maskovat činy podvodníků. V tomto okamžiku však již byly pověření oběti kompromitovány a předány aktérům hrozby.

Podrobnosti o technice phishingu Browser-in-the-Browser a celé operaci útoku byly zveřejněny ve zprávě bezpečnostních výzkumníků. Podle jejich zjištění není phishingový kit použitý v kampani na Steamu dostupný k prodeji na hackerských fórech. Místo toho je držena v úzkém okruhu kyberzločinců, kteří koordinují své aktivity na kanálech Discord nebo Telegram.