Sulmi i phishing 'Browser-in-the-Browser'

Mashtruesit po përdorin një teknikë të re phishing të njohur si Browser-in-the-Browser për të marrë kredencialet konfidenciale të llogarisë nga viktimat e tyre. Deri më tani, sulmuesit duket se synojnë kryesisht përdoruesit e Steam dhe lojtarët profesionistë. Ka të ngjarë që çdo llogari e komprometuar të ofrohet për shitje, pasi disa llogari të spikatura të Steam janë vlerësuar të kenë vlerë midis 100,000 dhe 300,000 dollarë.

Steam është platforma më e madhe e shpërndarjes dixhitale për lojërat kompjuterike dhe zhvilluesi i saj Valve Corporation zotëron gjithashtu disa nga titujt më të mëdhenj të sporteve elektronike në botë, të tilla si CS: GO dhe DOTA 2. Sulmet e phishing Browser-in-the-Browser fillojnë me mesazhe karremi u dërgohet drejtpërdrejt përdoruesve përmes Steam. Mashtruesit i ftojnë viktimat e tyre të bashkohen me një ekip për një lojë konkurruese popullore (LoL, CS, DOTA 2, PUBG) dhe të marrin pjesë në një turne të supozuar. Lidhja e gjetur në mesazhin e joshjes do t'i çojë viktimat që nuk dyshojnë në një faqe të rreme, e krijuar për t'u dukur sikur i përket një organizate që pret garat e esports. Kur përdoruesit përpiqen të bashkohen me një ekip, atyre do t'u kërkohet të identifikohen përmes llogarisë së tyre Steam.

Këtu hyn në lojë teknika Browser-in-the-Browser. Në vend të dritares së hyrjes legjitime që zakonisht mbivendoset mbi faqen ekzistuese të internetit, viktimave do t'u paraqitet një dritare e rreme e krijuar brenda faqes aktuale. Të kuptosh se diçka nuk është në rregull është jashtëzakonisht e vështirë, pasi dritarja e rreme është vizualisht identike me atë reale dhe URL-ja e saj përputhet me adresën legjitime. Faqet e uljes madje mund të zgjedhin midis 27 gjuhëve të ndryshme që të përputhen me atë të paracaktuar të përdorur nga viktimat e tyre.

Pasi të futen kredencialet e llogarisë, do të shfaqet një kërkesë e re që kërkon një kod 2FA (Vërtetimi me dy faktorë). Dështimi për të dhënë kodin e duhur do të rezultojë në një mesazh gabimi. Nëse përdoruesit e kalojnë vërtetimin, ata do të ridrejtohen në një adresë të re që përcaktohet nga serveri Command-and-Control (C2) i operacionit. Në mënyrë tipike, kjo adresë i përket një faqeje interneti legjitime si një mënyrë për të maskuar veprimet e mashtruesve. Megjithatë, në këtë pikë, kredencialet e viktimës tashmë janë komprometuar dhe janë transmetuar te aktorët e kërcënimit.

Detajet në lidhje me teknikën e phishing Browser-in-the-Browser dhe operacionin e sulmit në tërësi u zbuluan për publikun në një raport nga studiuesit e sigurisë. Sipas gjetjeve të tyre, kompleti i phishing i përdorur në fushatën Steam nuk është i disponueshëm për shitje në forumet e hakerëve. Në vend të kësaj, ai mbahet brenda një rrethi të ngushtë kriminelësh kibernetikë që koordinojnë aktivitetet e tyre në kanalet Discord ose Telegram.