Phishingový útok typu „prehliadač v prehliadači“.

Podvodníci používajú novú techniku phishingu známu ako Browser-in-the-Browser na získanie dôverných poverení účtu od svojich obetí. Zatiaľ sa zdá, že útočníci sa zameriavajú najmä na používateľov Steamu a profesionálnych hráčov. Je pravdepodobné, že akékoľvek napadnuté účty budú ponúknuté na predaj, pretože niektoré prominentné účty Steam sa odhadujú na 100 000 až 300 000 dolárov.

Steam je najväčšia digitálna distribučná platforma pre počítačové hry a jej vývojár Valve Corporation vlastní aj niektoré z najväčších e-športových titulov na svete, ako napríklad CS: GO a DOTA 2. Phishingové útoky typu Browser-in-the-Browser sa začínajú správami návnady odoslané priamo používateľom cez Steam. Podvodníci pozývajú svoje obete, aby sa pripojili k tímu pre populárnu súťažnú hru (LoL, CS, DOTA 2, PUBG) a zúčastnili sa údajného turnaja. Odkaz nájdený v správe s návnadou zavedie nič netušiace obete na falošnú stránku, ktorá má vyzerať, akoby patrila organizácii, ktorá organizuje súťaže v e-športoch. Keď sa používatelia pokúsia pripojiť k tímu, budú vyzvaní, aby sa prihlásili prostredníctvom svojho účtu Steam.

Tu prichádza do hry technika Browser-in-the-Browser. Namiesto legitímneho prihlasovacieho okna, ktoré je zvyčajne prekryté cez existujúcu webovú stránku, sa obetiam zobrazí falošné okno vytvorené na aktuálnej stránke. Odhaliť, že niečo nie je v poriadku, je mimoriadne ťažké, pretože falošné okno je vizuálne identické so skutočným a jeho adresa URL sa zhoduje s legitímnou adresou. Vstupné stránky si dokonca môžu vybrať medzi 27 rôznymi jazykmi, aby sa zhodovali s predvoleným jazykom, ktorý používajú ich obete.

Po zadaní prihlasovacích údajov účtu sa zobrazí nová výzva na zadanie kódu 2FA (dvojfaktorové overenie). Ak nezadáte správny kód, zobrazí sa chybové hlásenie. Ak používatelia prejdú overením, budú presmerovaní na novú adresu, ktorá je určená serverom Command-and-Control (C2) operácie. Táto adresa zvyčajne patrí legitímnej webovej stránke ako spôsob, ako maskovať činy podvodníkov. V tomto bode však už boli poverenia obete kompromitované a odovzdané aktérom hrozby.

Podrobnosti o phishingovej technike Browser-in-the-Browser a o operácii útoku ako celku boli zverejnené v správe bezpečnostných výskumníkov. Podľa ich zistení phishing kit použitý v kampani Steam nie je dostupný na predaj na hackerských fórach. Namiesto toho je držaný v úzkom kruhu kyberzločincov, ktorí koordinujú svoje aktivity na kanáloch Discord alebo Telegram.