Tấn công lừa đảo 'Browser-in-the-Browser'
Những kẻ lừa đảo đang sử dụng một kỹ thuật lừa đảo mới được gọi là Trình duyệt trong trình duyệt để lấy thông tin đăng nhập tài khoản bí mật từ nạn nhân của chúng. Cho đến nay, những kẻ tấn công dường như chủ yếu nhắm vào người dùng Steam và các game thủ chuyên nghiệp. Có khả năng là bất kỳ tài khoản bị xâm phạm nào cũng sẽ được rao bán, vì một số tài khoản Steam nổi bật đã được ước tính có giá trị từ 100.000 đến 300.000 đô la.
Steam là nền tảng phân phối kỹ thuật số lớn nhất cho trò chơi PC và nhà phát triển Valve Corporation cũng sở hữu một số tựa game esports lớn nhất thế giới, chẳng hạn như CS: GO và DOTA 2. Các cuộc tấn công lừa đảo trên Browser-in-the-Browser bắt đầu bằng các tin nhắn mồi. được gửi trực tiếp đến người dùng thông qua Steam. Những kẻ gian lận mời nạn nhân của họ tham gia một đội cho một trò chơi cạnh tranh phổ biến (LoL, CS, DOTA 2, PUBG) và tham gia vào một giải đấu giả định. Liên kết được tìm thấy trong thông báo thu hút sẽ đưa những nạn nhân không nghi ngờ đến một trang web giả mạo, được thiết kế để có vẻ như thuộc về một tổ chức tổ chức các cuộc thi thể thao điện tử. Khi người dùng cố gắng tham gia một đội, họ sẽ được nhắc đăng nhập qua tài khoản Steam của họ.
Đây là lúc kỹ thuật Browser-in-the-Browser phát huy tác dụng. Thay vì cửa sổ đăng nhập hợp pháp thường được che phủ trên trang web hiện tại, nạn nhân sẽ thấy một cửa sổ giả được tạo trong trang hiện tại. Việc phát hiện có điều gì đó không ổn là vô cùng khó khăn, vì cửa sổ giả giống hệt cửa sổ thật và URL của nó khớp với địa chỉ hợp pháp. Các trang đích thậm chí có thể chọn giữa 27 ngôn ngữ khác nhau để phù hợp với ngôn ngữ mặc định mà nạn nhân của chúng sử dụng.
Khi thông tin đăng nhập tài khoản được nhập, lời nhắc mới yêu cầu mã 2FA (Xác thực hai yếu tố) sẽ được hiển thị. Nếu không cung cấp đúng mã sẽ dẫn đến thông báo lỗi. Nếu người dùng vượt qua xác thực, họ sẽ được chuyển hướng đến một địa chỉ mới được xác định bởi máy chủ Command-and-Control (C2) của hoạt động. Thông thường, địa chỉ này thuộc về một trang web hợp pháp như một cách để che giấu hành động của những kẻ lừa đảo. Tuy nhiên, tại thời điểm này, thông tin đăng nhập của nạn nhân đã bị xâm phạm và được chuyển đến các tác nhân đe dọa.
Thông tin chi tiết về kỹ thuật lừa đảo trong Trình duyệt và toàn bộ hoạt động tấn công đã được các nhà nghiên cứu bảo mật tiết lộ cho công chúng trong một báo cáo. Theo phát hiện của họ, bộ công cụ lừa đảo được sử dụng trong chiến dịch Steam không có sẵn để bán trên các diễn đàn hack. Thay vào đó, nó được giữ trong một vòng vây hẹp của tội phạm mạng, những kẻ điều phối hoạt động của chúng trên các kênh Discord hoặc Telegram.
