Atac de phishing „Browser-in-the-Browser”.

Defraudatorii folosesc o nouă tehnică de phishing cunoscută sub numele de Browser-in-the-Browser pentru a obține acreditări confidențiale ale contului de la victime. Până acum, atacatorii par să vizeze în principal utilizatorii Steam și jucătorii profesioniști. Este probabil ca orice conturi compromise să fie oferite spre vânzare, deoarece unele conturi proeminente Steam au fost estimate a avea o valoare între 100.000 USD și 300.000 USD.

Steam este cea mai mare platformă de distribuție digitală pentru jocuri pentru PC, iar dezvoltatorul său Valve Corporation deține, de asemenea, unele dintre cele mai mari titluri de sport din lume, cum ar fi CS: GO și DOTA 2. Atacurile de phishing din Browser-in-the-Browser încep cu mesaje de momeală. trimis direct utilizatorilor prin Steam. Escrocii își invită victimele să se alăture unei echipe pentru un joc competitiv popular (LoL, CS, DOTA 2, PUBG) și să participe la un presupus turneu. Link-ul găsit în mesajul de momeală va duce victimele nebănuite către un site fals, conceput să pară ca și cum ar aparține unei organizații care găzduiește competiții de esports. Când utilizatorii încearcă să se alăture unei echipe, li se va solicita să se conecteze prin contul lor Steam.

Aici intră în joc tehnica Browser-in-the-Browser. În loc de fereastra de conectare legitimă care este de obicei suprapusă peste site-ul web existent, victimelor li se va prezenta o fereastră falsă creată în pagina curentă. Observarea faptului că ceva nu este în regulă este extrem de dificilă, deoarece fereastra falsă este identică vizual cu cea reală și URL-ul său se potrivește cu adresa legitimă. Paginile de destinație pot alege chiar între 27 de limbi diferite pentru a se potrivi cu cea implicită folosită de victimele lor.

Odată ce acreditările contului sunt introduse, va fi afișată o nouă solicitare care solicită un cod 2FA (Autentificare cu doi factori). Nefurnizarea codului corect va duce la un mesaj de eroare. Dacă utilizatorii trec autentificarea, aceștia vor fi redirecționați către o nouă adresă, care este determinată de serverul de comandă și control (C2) al operațiunii. De obicei, această adresă aparține unui site web legitim ca o modalitate de a masca acțiunile escrocilor. Cu toate acestea, în acest moment, acreditările victimei au fost deja compromise și transmise actorilor amenințărilor.

Detalii despre tehnica de phishing Browser-in-the-Browser și operațiunea de atac în ansamblu au fost dezvăluite publicului într-un raport al cercetătorilor de securitate. Conform constatărilor lor, kitul de phishing utilizat în campania Steam nu este disponibil pentru vânzare pe forumurile de hacking. În schimb, este menținut într-un cerc restrâns de criminali cibernetici care își coordonează activitățile pe canalele Discord sau Telegram.