'Browser-in-the-Browser' Phishing Attack

Os fraudadores estão usando uma nova técnica de phishing conhecida como Browser-in-the-Browser para obter credenciais de contas confidenciais de suas vítimas. Até agora, os atacantes parecem estar visando principalmente usuários do Steam e jogadores profissionais. É provável que quaisquer contas comprometidas sejam colocadas à venda, já que algumas contas importantes do Steam foram estimadas em valores entre US$100.000 e US$300.000.

O Steam é a maior plataforma de distribuição digital de jogos para PC e seu desenvolvedor Valve Corporation também possui alguns dos maiores títulos de e-sports do mundo, como CS: GO e DOTA 2. Os ataques de phishing do navegador no navegador começam com mensagens de isca enviado diretamente aos usuários via Steam. Os fraudadores convidam suas vítimas para se juntar a um time para um jogo competitivo popular (LoL, CS, DOTA 2, PUBG) e participar de um suposto torneio. O link encontrado na mensagem de atração levará as vítimas desavisadas a um site falso, projetado para aparecer como se pertencesse a uma organização que hospeda competições de esports. Quando os usuários tentam ingressar em uma equipe, eles serão solicitados a fazer login por meio de sua conta Steam.

Aqui é onde a técnica Browser-in-the-Browser entra em ação. Em vez da janela de login legítima que normalmente é sobreposta ao site existente, as vítimas serão apresentadas a uma janela falsa criada na página atual. Detectar que algo está errado é extremamente difícil, pois a janela falsa é visualmente idêntica à real e sua URL corresponde ao endereço legítimo. As páginas de destino podem até escolher entre 27 idiomas diferentes para corresponder ao padrão usado por suas vítimas.

Depois que as credenciais da conta forem inseridas, um novo prompt solicitando um código 2FA (autenticação de dois fatores) será exibido. A falha em fornecer o código correto resultará em uma mensagem de erro. Se os usuários passarem na autenticação, eles serão redirecionados para um novo endereço determinado pelo servidor de Comando e Controle (C2) da operação. Normalmente, esse endereço pertence a um site legítimo como forma de mascarar as ações dos golpistas. No entanto, neste momento, as credenciais da vítima já foram comprometidas e transmitidas aos atores da ameaça.

Detalhes sobre a técnica de phishing do navegador no navegador e a operação de ataque como um todo foram divulgados ao público em um relatório de pesquisadores de segurança. De acordo com suas descobertas, o kit de phishing utilizado na campanha do Steam não está disponível para venda em fóruns de hackers. Em vez disso, está sendo mantido dentro de um círculo estreito de cibercriminosos que coordenam suas atividades nos canais Discord ou Telegram.