Attacco di phishing "Browser-in-the-Browser".

I truffatori utilizzano una nuova tecnica di phishing nota come Browser-in-the-Browser per ottenere credenziali riservate dell'account dalle loro vittime. Finora, gli aggressori sembrano prendere di mira principalmente gli utenti di Steam e i giocatori professionisti. È probabile che tutti gli account compromessi vengano offerti in vendita, poiché si stima che alcuni importanti account Steam valgano tra $ 100.000 e $ 300.000.

Steam è la più grande piattaforma di distribuzione digitale per i giochi per PC e il suo sviluppatore Valve Corporation possiede anche alcuni dei più grandi titoli di eSport al mondo, come CS: GO e DOTA 2. Gli attacchi di phishing di Browser-in-the-Browser iniziano con messaggi esca inviato direttamente agli utenti tramite Steam. I truffatori invitano le loro vittime a unirsi a una squadra per un popolare gioco competitivo (LoL, CS, DOTA 2, PUBG) e partecipare a un presunto torneo. Il link trovato nel messaggio di richiamo condurrà le vittime ignare a un sito falso, progettato per apparire come se appartenesse a un'organizzazione che ospita competizioni di eSport. Quando gli utenti tentano di entrare a far parte di un team, verrà loro richiesto di accedere tramite il proprio account Steam.

È qui che entra in gioco la tecnica Browser-in-the-Browser. Invece della finestra di accesso legittima che in genere è sovrapposta al sito Web esistente, alle vittime verrà presentata una finestra falsa creata all'interno della pagina corrente. Individuare che qualcosa non va è estremamente difficile, poiché la finestra falsa è visivamente identica a quella reale e il suo URL corrisponde all'indirizzo legittimo. Le pagine di destinazione possono anche scegliere tra 27 lingue diverse per corrispondere a quella predefinita utilizzata dalle loro vittime.

Una volta inserite le credenziali dell'account, verrà visualizzata una nuova richiesta di codice 2FA (Autenticazione a due fattori). La mancata fornitura del codice corretto comporterà un messaggio di errore. Se gli utenti superano l'autenticazione, verranno reindirizzati a un nuovo indirizzo determinato dal server Command-and-Control (C2) dell'operazione. In genere, questo indirizzo appartiene a un sito Web legittimo per mascherare le azioni dei truffatori. Tuttavia, a questo punto, le credenziali della vittima sono già state compromesse e trasmesse agli attori della minaccia.

I dettagli sulla tecnica di phishing Browser-in-the-Browser e l'operazione di attacco nel suo insieme sono stati divulgati al pubblico in un rapporto di ricercatori di sicurezza. Secondo le loro scoperte, il kit di phishing utilizzato nella campagna di Steam non è disponibile per la vendita sui forum di hacking. Viene invece tenuto all'interno di una ristretta cerchia di criminali informatici che coordinano le loro attività sui canali Discord o Telegram.