'Browser-in-the-Browser' Phishing Attack
Gumagamit ang mga manloloko ng bagong diskarte sa phishing na kilala bilang Browser-in-the-Browser upang makakuha ng mga kumpidensyal na kredensyal ng account mula sa kanilang mga biktima. Sa ngayon, lumilitaw na pangunahing tina-target ng mga umaatake ang mga user ng Steam at mga propesyonal na manlalaro. Malamang na ang anumang mga nakompromisong account ay iaalok para sa pagbebenta, dahil ang ilang kilalang Steam account ay tinatantya na nagkakahalaga sa pagitan ng $100, 000 at $ 300, 000.
Ang Steam ay ang pinakamalaking digital distribution platform para sa PC gaming at ang developer nito na Valve Corporation ay nagmamay-ari din ng ilan sa mga pinakamalaking esports titles sa mundo, gaya ng CS: GO at DOTA 2. Ang Browser-in-the-Browser phishing attacks ay nagsisimula sa mga mensahe ng pain direktang ipinadala sa mga user sa pamamagitan ng Steam. Inaanyayahan ng mga manloloko ang kanilang mga biktima na sumali sa isang koponan para sa isang sikat na mapagkumpitensyang laro (LoL, CS, DOTA 2, PUBG) at lumahok sa isang dapat na tournament. Ang link na makikita sa mensahe ng pang-akit ay magdadala sa mga hindi pinaghihinalaang biktima sa isang pekeng site, na idinisenyo upang lumitaw na parang kabilang ito sa isang organisasyong nagho-host ng mga kumpetisyon sa esport. Kapag sinubukan ng mga user na sumali sa isang team, ipo-prompt sila na mag-log in sa pamamagitan ng kanilang Steam account.
Dito pumapasok ang diskarteng Browser-in-the-Browser. Sa halip na ang lehitimong login window na karaniwang naka-overlay sa umiiral na website, ang mga biktima ay ipapakita sa isang pekeng window na ginawa sa loob ng kasalukuyang page. Ang pagtukoy na may mali ay napakahirap, dahil ang pekeng window ay biswal na kapareho ng tunay at ang URL nito ay tumutugma sa lehitimong address. Ang mga landing page ay maaaring pumili sa pagitan ng 27 iba't ibang wika upang tumugma sa default na ginagamit ng kanilang mga biktima.
Kapag nailagay na ang mga kredensyal ng account, ipapakita ang isang bagong prompt na humihingi ng 2FA (Two-Factor Authentication) code. Ang hindi pagbibigay ng tamang code ay magreresulta sa isang mensahe ng error. Kung maipapasa ng mga user ang pagpapatotoo, ire-redirect sila sa isang bagong address na tinutukoy ng Command-and-Control (C2) server ng operasyon. Karaniwan, ang address na ito ay kabilang sa isang lehitimong website bilang isang paraan upang itago ang mga aksyon ng mga manloloko. Gayunpaman, sa puntong ito, ang mga kredensyal ng biktima ay nakompromiso na at ipinadala sa mga aktor ng pagbabanta.
Ang mga detalye tungkol sa pamamaraan ng phishing ng Browser-in-the-Browser at ang operasyon ng pag-atake sa kabuuan ay inihayag sa publiko sa isang ulat ng mga mananaliksik sa seguridad. Ayon sa kanilang mga natuklasan, ang phishing kit na ginamit sa Steam campaign ay hindi magagamit para ibenta sa mga forum sa pag-hack. Sa halip, ito ay pinananatili sa loob ng isang makitid na bilog ng mga cybercriminal na nag-uugnay sa kanilang mga aktibidad sa Discord o Telegram channels.
