Nätfiskeattack "Browser-in-the-Browser".

Bedragare använder en ny nätfisketeknik känd som Browser-in-the-Browser för att få konfidentiella kontouppgifter från sina offer. Hittills verkar angriparna främst rikta sig till Steam-användare och professionella spelare. Det är troligt att alla komprometterade konton kommer att erbjudas till försäljning, eftersom vissa framstående Steam-konton har uppskattats vara värda mellan $100,000 och $300,000.

Steam är den största digitala distributionsplattformen för PC-spel och dess utvecklare Valve Corporation äger också några av de största esporttitlarna i världen, såsom CS: GO och DOTA 2. Nätfiske-attackerna Browser-in-the-Browser börjar med betesmeddelanden skickas direkt till användare via Steam. Bedragarna bjuder in sina offer att gå med i ett lag för ett populärt tävlingsspel (LoL, CS, DOTA 2, PUBG) och delta i en förmodad turnering. Länken som finns i lockbetsmeddelandet kommer att ta de intet ont anande offren till en falsk sida, designad för att se ut som om den tillhör en organisation som är värd för e-sporttävlingar. När användare försöker gå med i ett team kommer de att uppmanas att logga in via sitt Steam-konto.

Det är här Browser-in-the-Browser-tekniken kommer in i bilden. Istället för det legitima inloggningsfönstret som vanligtvis läggs över den befintliga webbplatsen, kommer offren att presenteras med ett falskt fönster skapat på den aktuella sidan. Att upptäcka att något är fel är extremt svårt, eftersom det falska fönstret är visuellt identiskt med det riktiga och dess URL matchar den legitima adressen. Målsidorna kan till och med välja mellan 27 olika språk för att matcha standardspråket som används av deras offer.

När kontouppgifterna har angetts visas en ny uppmaning som ber om en 2FA-kod (tvåfaktorsautentisering). Underlåtenhet att ange rätt kod kommer att resultera i ett felmeddelande. Om användare klarar autentiseringen kommer de att omdirigeras till en ny adress som bestäms av operationens Command-and-Control-server (C2). Vanligtvis hör denna adress till en legitim webbplats som ett sätt att maskera bedragarnas handlingar. Men vid denna tidpunkt har offrets meriter redan äventyrats och överförts till hotaktörerna.

Detaljer om nätfisketekniken Browser-in-the-Browser och attackoperationen som helhet avslöjades för allmänheten i en rapport från säkerhetsforskare. Enligt deras resultat är nätfiske-kit som används i Steam-kampanjen inte tillgängligt till försäljning på hackingforum. Det hålls istället inom en snäv krets av cyberkriminella som samordnar sina aktiviteter på Discord- eller Telegram-kanaler.