브라우저 내 브라우저' 피싱 공격

사기꾼은 Browser-in-the-Browser라는 새로운 피싱 기술을 사용하여 피해자로부터 기밀 계정 자격 증명을 얻습니다. 지금까지 공격자들은 주로 Steam 사용자와 프로게이머를 대상으로 한 것으로 보입니다. 일부 저명한 Steam 계정은 $100,000에서 $300,000 사이의 가치가 있는 것으로 추정되므로 손상된 계정은 판매용으로 제공될 가능성이 높습니다.

Steam은 PC 게임을 위한 가장 큰 디지털 배포 플랫폼이며 개발사인 Valve Corporation은 CS: GO 및 DOTA 2와 같은 세계 최대 e스포츠 타이틀도 소유하고 있습니다. Browser-in-the-Browser 피싱 공격은 미끼 메시지로 시작됩니다. Steam을 통해 사용자에게 직접 전송됩니다. 사기꾼은 피해자를 인기 있는 경쟁 게임(LoL, CS, DOTA 2, PUBG)의 팀에 합류시키고 예정된 토너먼트에 참가하도록 초대합니다. 유인 메시지에 있는 링크는 순진한 피해자를 e스포츠 대회를 주최하는 조직에 속한 것처럼 보이도록 설계된 가짜 사이트로 안내합니다. 사용자가 팀에 가입하려고 하면 Steam 계정을 통해 로그인하라는 메시지가 표시됩니다.

여기에서 Browser-in-Browser 기술이 사용됩니다. 일반적으로 기존 웹사이트 위에 오버레이된 합법적인 로그인 창 대신 현재 페이지 내에 생성된 가짜 창이 표시됩니다. 가짜 창은 시각적으로 실제 창과 동일하고 URL이 합법적인 주소와 일치하기 때문에 무언가 잘못되었음을 감지하는 것은 매우 어렵습니다. 방문 페이지는 피해자가 사용하는 기본 언어와 일치하도록 27개의 다른 언어 중에서 선택할 수도 있습니다.

계정 자격 증명을 입력하면 2FA(2단계 인증) 코드를 묻는 새 프롬프트가 표시됩니다. 올바른 코드를 제공하지 않으면 오류 메시지가 표시됩니다. 사용자가 인증을 통과하면 작업의 C2(명령 및 제어) 서버에 의해 결정된 새 주소로 리디렉션됩니다. 일반적으로 이 주소는 사기꾼의 행동을 은폐하기 위한 방법으로 합법적인 웹사이트에 속합니다. 그러나 이 시점에서 피해자의 자격 증명은 이미 손상되어 위협 행위자에게 전송되었습니다.

Browser-in-the-Browser 피싱 기술과 전체 공격 작업에 대한 세부 정보는 보안 연구원의 보고서에서 일반에 공개되었습니다. 그들의 조사 결과에 따르면 Steam 캠페인에 사용된 피싱 키트는 해킹 포럼에서 판매할 수 없습니다. 대신 Discord 또는 Telegram 채널에서 활동을 조정하는 사이버 범죄자의 좁은 범위 내에 보관됩니다.