Επίθεση ψαρέματος «Browser-in-the-Browser».

Οι απατεώνες χρησιμοποιούν μια νέα τεχνική phishing, γνωστή ως Browser-in-the-Browser, για να αποκτήσουν εμπιστευτικά διαπιστευτήρια λογαριασμού από τα θύματά τους. Μέχρι στιγμής, οι επιτιθέμενοι φαίνεται να στοχεύουν κυρίως χρήστες Steam και επαγγελματίες παίκτες. Είναι πιθανό ότι τυχόν παραβιασμένοι λογαριασμοί θα προσφερθούν προς πώληση, καθώς ορισμένοι σημαντικοί λογαριασμοί Steam εκτιμάται ότι αξίζουν μεταξύ 100.000 και 300.000 $.

Το Steam είναι η μεγαλύτερη πλατφόρμα ψηφιακής διανομής για gaming υπολογιστών και ο προγραμματιστής του Valve Corporation κατέχει επίσης μερικούς από τους μεγαλύτερους τίτλους esports στον κόσμο, όπως το CS: GO και το DOTA 2. Οι επιθέσεις phishing του Browser-in-the-Browser ξεκινούν με μηνύματα δολώματος αποστέλλεται απευθείας στους χρήστες μέσω Steam. Οι απατεώνες προσκαλούν τα θύματά τους να συμμετάσχουν σε μια ομάδα για ένα δημοφιλές ανταγωνιστικό παιχνίδι (LoL, CS, DOTA 2, PUBG) και να συμμετάσχουν σε ένα υποτιθέμενο τουρνουά. Ο σύνδεσμος που βρίσκεται στο μήνυμα δέλεαρ θα μεταφέρει τα ανυποψίαστα θύματα σε έναν ψεύτικο ιστότοπο, σχεδιασμένο να φαίνεται σαν να ανήκει σε οργανισμό που φιλοξενεί διαγωνισμούς esports. Όταν οι χρήστες προσπαθούν να συμμετάσχουν σε μια ομάδα, θα τους ζητηθεί να συνδεθούν μέσω του λογαριασμού τους στο Steam.

Εδώ μπαίνει στο παιχνίδι η τεχνική Browser-in-the-Browser. Αντί για το νόμιμο παράθυρο σύνδεσης που συνήθως επικαλύπτεται στον υπάρχοντα ιστότοπο, τα θύματα θα εμφανιστούν με ένα ψεύτικο παράθυρο που δημιουργήθηκε στην τρέχουσα σελίδα. Το να εντοπίσετε ότι κάτι δεν πάει καλά είναι εξαιρετικά δύσκολο, καθώς το ψεύτικο παράθυρο είναι οπτικά πανομοιότυπο με το πραγματικό και το URL του ταιριάζει με τη νόμιμη διεύθυνση. Οι σελίδες προορισμού μπορούν ακόμη και να επιλέξουν μεταξύ 27 διαφορετικών γλωσσών που ταιριάζουν με την προεπιλεγμένη γλώσσα που χρησιμοποιούν τα θύματά τους.

Μόλις εισαχθούν τα διαπιστευτήρια του λογαριασμού, θα εμφανιστεί ένα νέο μήνυμα που ζητά έναν κωδικό 2FA (Two-Factor Authentication). Η αποτυχία παροχής του σωστού κωδικού θα έχει ως αποτέλεσμα ένα μήνυμα σφάλματος. Εάν οι χρήστες περάσουν τον έλεγχο ταυτότητας, θα ανακατευθυνθούν σε μια νέα διεύθυνση που καθορίζεται από τον διακομιστή Command-and-Control (C2) της λειτουργίας. Συνήθως, αυτή η διεύθυνση ανήκει σε έναν νόμιμο ιστότοπο ως ένας τρόπος να συγκαλύψει τις ενέργειες των απατεώνων. Ωστόσο, σε αυτό το σημείο, τα διαπιστευτήρια του θύματος έχουν ήδη παραβιαστεί και έχουν μεταδοθεί στους παράγοντες της απειλής.

Λεπτομέρειες σχετικά με την τεχνική phishing του Browser-in-the-Browser και την επιχείρηση επίθεσης στο σύνολό της αποκαλύφθηκαν στο κοινό σε μια αναφορά από ερευνητές ασφαλείας. Σύμφωνα με τα ευρήματά τους, το κιτ phishing που χρησιμοποιήθηκε στην καμπάνια Steam δεν είναι διαθέσιμο προς πώληση σε φόρουμ hacking. Αντίθετα, διατηρείται σε έναν στενό κύκλο εγκληματιών στον κυβερνοχώρο που συντονίζουν τις δραστηριότητές τους στα κανάλια Discord ή Telegram.