'Browser-in-the-Browser' phishing-aanval

Oplichters gebruiken een nieuwe phishing-techniek die bekend staat als Browser-in-the-Browser om vertrouwelijke accountgegevens van hun slachtoffers te verkrijgen. Tot nu toe lijken de aanvallers zich vooral te richten op Steam-gebruikers en professionele gamers. Het is waarschijnlijk dat alle gecompromitteerde accounts te koop zullen worden aangeboden, aangezien sommige prominente Steam-accounts naar schatting tussen $ 100.000 en $ 300.000 waard zijn.

Steam is het grootste digitale distributieplatform voor pc-gaming en de ontwikkelaar Valve Corporation bezit ook enkele van de grootste esports-titels ter wereld, zoals CS: GO en DOTA 2. De Browser-in-the-Browser phishing-aanvallen beginnen met lokaasberichten rechtstreeks naar gebruikers verzonden via Steam. De fraudeurs nodigen hun slachtoffers uit om zich bij een team aan te sluiten voor een populair competitief spel (LoL, CS, DOTA 2, PUBG) en deel te nemen aan een zogenaamd toernooi. De link in het lokbericht leidt de nietsvermoedende slachtoffers naar een nepsite, ontworpen om te lijken alsof deze toebehoort aan een organisatie die esports-wedstrijden organiseert. Wanneer gebruikers proberen lid te worden van een team, worden ze gevraagd om in te loggen via hun Steam-account.

Hier komt de Browser-in-the-Browser-techniek om de hoek kijken. In plaats van het legitieme inlogvenster dat doorgaans over de bestaande website wordt gelegd, krijgen slachtoffers een nepvenster te zien dat op de huidige pagina is gemaakt. Het is buitengewoon moeilijk om te zien dat er iets mis is, omdat het nepvenster visueel identiek is aan het echte en de URL overeenkomt met het legitieme adres. De bestemmingspagina's kunnen zelfs kiezen uit 27 verschillende talen die overeenkomen met de standaardtaal die door hun slachtoffers wordt gebruikt.

Nadat de accountreferenties zijn ingevoerd, wordt een nieuwe prompt weergegeven waarin om een 2FA-code (Two-Factor Authentication) wordt gevraagd. Het niet verstrekken van de juiste code zal resulteren in een foutmelding. Als gebruikers slagen voor de authenticatie, worden ze omgeleid naar een nieuw adres dat wordt bepaald door de Command-and-Control (C2) -server van de operatie. Meestal behoort dit adres tot een legitieme website als een manier om de acties van de oplichters te maskeren. Op dit moment zijn de inloggegevens van het slachtoffer echter al gecompromitteerd en doorgegeven aan de dreigingsactoren.

Details over de Browser-in-the-Browser phishing-techniek en de aanvalsoperatie als geheel zijn openbaar gemaakt in een rapport van beveiligingsonderzoekers. Volgens hun bevindingen is de phishing-kit die in de Steam-campagne wordt gebruikt, niet te koop op hackforums. Het wordt in plaats daarvan binnen een nauwe kring van cybercriminelen gehouden die hun activiteiten op Discord- of Telegram-kanalen coördineren.