Фишинговая атака «браузер в браузере»

Мошенники используют новую технику фишинга, известную как «Браузер в браузере», для получения конфиденциальных учетных данных от своих жертв. Пока что злоумышленники в основном нацелены на пользователей Steam и профессиональных геймеров. Вполне вероятно, что любые скомпрометированные учетные записи будут выставлены на продажу, поскольку стоимость некоторых известных учетных записей Steam оценивается от 100 000 до 300 000 долларов.

Steam является крупнейшей платформой цифровой дистрибуции компьютерных игр, а его разработчику Valve Corporation также принадлежат некоторые из крупнейших киберспортивных игр в мире, такие как CS: GO и DOTA 2. Фишинговые атаки типа «браузер в браузере» начинаются с сообщений-приманок. отправлены непосредственно пользователям через Steam. Мошенники предлагают своим жертвам присоединиться к команде по популярной соревновательной игре (LoL, CS, DOTA 2, PUBG) и принять участие в предполагаемом турнире. Ссылка, найденная в сообщении-приманке, приведет ничего не подозревающих жертв на поддельный сайт, созданный так, как будто он принадлежит организации, проводящей киберспортивные соревнования. Когда пользователи пытаются присоединиться к команде, им будет предложено войти в систему через свою учетную запись Steam.

Вот где в игру вступает техника «Браузер в браузере». Вместо законного окна входа в систему, которое обычно накладывается на существующий веб-сайт, жертвам будет представлено поддельное окно, созданное на текущей странице. Заметить, что что-то не так, чрезвычайно сложно, так как поддельное окно визуально идентично настоящему, а его URL-адрес совпадает с реальным адресом. Целевые страницы могут даже выбирать между 27 различными языками, чтобы они соответствовали языку по умолчанию, используемому их жертвами.

После ввода учетных данных появится новое приглашение с запросом кода 2FA (двухфакторной аутентификации). Если не указать правильный код, появится сообщение об ошибке. Если пользователи проходят аутентификацию, они будут перенаправлены на новый адрес, который определяется сервером управления и контроля операции (C2). Как правило, этот адрес принадлежит законному веб-сайту, чтобы замаскировать действия мошенников. Однако на данный момент учетные данные жертвы уже скомпрометированы и переданы злоумышленникам.

Подробности о методе фишинга «Браузер в браузере» и операции атаки в целом были раскрыты общественности в отчете исследователей безопасности. Согласно их выводам, фишинговый набор, использованный в кампании Steam, недоступен для продажи на хакерских форумах. Вместо этого он держится в узком кругу киберпреступников, которые координируют свою деятельность на каналах Discord или Telegram.