Phishing napad 'Browser-in-the-Browser'

Prevaranti koriste novu tehniku krađe identiteta poznatu kao Browser-in-the-Browser kako bi od svojih žrtava dobili povjerljive vjerodajnice računa. Zasad se čini da napadači uglavnom ciljaju korisnike Steama i profesionalne igrače. Vjerojatno će svi kompromitirani računi biti ponuđeni na prodaju, jer se procjenjuje da neki istaknuti Steam računi vrijede između 100.000 i 300.000 USD.

Steam je najveća digitalna distribucijska platforma za PC igrice, a njezin razvojni programer Valve Corporation također posjeduje neke od najvećih esports naslova na svijetu, kao što su CS: GO i DOTA 2. Krađa identiteta Browser-in-the-Browser napadi započinju s mamac porukama šalje izravno korisnicima putem Steama. Prevaranti pozivaju svoje žrtve da se pridruže timu za popularnu natjecateljsku igru (LoL, CS, DOTA 2, PUBG) i sudjeluju u navodnom turniru. Veza koja se nalazi u poruci mamca odvest će žrtve koje ništa ne sumnjaju na lažnu stranicu, osmišljenu tako da izgleda kao da pripada organizaciji koja ugošćuje esport natjecanja. Kada se korisnici pokušaju pridružiti timu, od njih će biti zatraženo da se prijave putem svog Steam računa.

Ovdje tehnika Browser-in-the-Browser stupa na scenu. Umjesto legitimnog prozora za prijavu koji se obično prekriva preko postojeće web stranice, žrtvama će se prikazati lažni prozor kreiran unutar trenutne stranice. Uočiti da nešto nije u redu iznimno je teško jer je lažni prozor vizualno identičan pravom i njegov URL odgovara legitimnoj adresi. Odredišne stranice čak mogu birati između 27 različitih jezika kako bi odgovarale zadanom jeziku koji koriste njihove žrtve.

Nakon što se unesu vjerodajnice računa, prikazat će se novi upit u kojem se traži 2FA (dvofaktorska autentifikacija) kod. Ako ne navedete točan kod, pojavit će se poruka o pogrešci. Ako korisnici prođu autentifikaciju, bit će preusmjereni na novu adresu koju određuje operacijski Command-and-Control (C2) poslužitelj. Tipično, ova adresa pripada legitimnoj web stranici kao način maskiranja radnji prevaranata. Međutim, u ovom trenutku, vjerodajnice žrtve već su kompromitirane i poslane akterima prijetnje.

Pojedinosti o tehnici phishinga Browser-in-the-Browser i operaciji napada u cjelini objavljene su javnosti u izvješću sigurnosnih istraživača. Prema njihovim nalazima, oprema za krađu identiteta korištena u Steam kampanji nije dostupna za prodaju na hakerskim forumima. Umjesto toga, drži se unutar uskog kruga kibernetičkih kriminalaca koji koordiniraju svoje aktivnosti na kanalima Discord ili Telegram.