Group-IB рассказала о новом методе фишинга против игроков Steam

Group-IB рассказала о новом методе фишинга против игроков Steam

Фишинг-атака «Браузер в браузере» направлена на кражу учетных данных Steam.

Новый метод фишинг-атаки под названием «Браузер в браузере» (Browser-in-the-Browser, BitB), раскрытый в марте 2022 года , становится все более популярным среди хакеров и предназначен для кражи учетных данных профессиональных игроков Steam. Эти фишинговые атаки направлены на продажу доступа к учетным записям, при этом стоимость некоторых известных учетных записей Steam составляет от $100 000 до $300 000.

Техника «Браузер в браузере» представляет из себя создание поддельного окна браузера в активном окне в качестве всплывающей страницы входа.

Group-IB сообщает , что фишинговый набор, использованный в кампании, недоступен для широкого круга пользователей на хакерских форумах или в даркнете. Он используется в частном порядке хакерами, которые собираются вместе в каналах Discord или Telegram для координации своих атак.

Потенциальные жертвы получают сообщения в Steam с приглашением присоединиться к команде для участия в турнирах по League of Legends, Counter Strike, Dota 2 или PUBG.

Злоумышленник отправляет фишинговое приглашение

Ссылка приведет жертву на фишинговый сайт, который имитирует организацию, спонсирующую и проводящую турнир.


Фишинговый сайт организатора турниров

Чтобы присоединиться к команде и принять участие в соревновании, посетителям предлагается войти в систему через свою учетную запись Steam. Однако, новое окно страницы входа — это не настоящее окно браузера, наложенное поверх существующего веб-сайта. Это поддельное окно, созданное на текущей странице, из-за чего его очень трудно распознать как фишинговую атаку.

Фишинговое окно, созданное внутри фишингового сайта

Целевые страницы даже поддерживают 27 языков и загружают язык пользователя, определив язык в настройках его браузера.

Как только жертва вводит свои учетные данные, форма предлагает ей ввести код двухфакторной аутентификации (2FA). Если второй шаг не удался, отображается сообщение об ошибке.

Запрос жертвы на повторный ввод кода 2FA

Если аутентификация прошла успешно, пользователь перенаправляется на настоящий, законный URL-адрес (адрес C&C-сервера), чтобы свести к минимуму вероятность того, что жертва осознает компрометацию.

На данный момент учетные данные жертвы уже украдены и отправлены злоумышленникам. В подобных атаках киберпреступники быстро захватывают учетные записи Steam, меняя пароли и адреса электронной почты, чтобы жертвам было труднее восстановить контроль над своими учетными записями.

Во всех случаях атаки «Браузер в браузере» URL-адрес в фишинговом окне является законным, поскольку злоумышленники могут отображать все, что захотят, поскольку это не окно браузера, а просто его рендеринг.

Также в окне отображается символ блокировки SSL-сертификата, указывающий на HTTPS-соединение, что создает у жертв ложное чувство безопасности.

Кроме того, фишинговый пользователь может перетаскивать поддельное окно, сворачивать его и закрывать, что затрудняет обнаружение фальшивого окна браузера в браузере.

Поддельное окно входа в систему отображается в главном окне

Поскольку этот метод требует JavaScript, блокировка JS-скриптов предотвратит отображение фишингового входа в систему. Однако, большинство людей не блокируют скрипты, так как это нарушит работу многих популярных веб-сайтов.

Эксперты порекомендовали пользователям быть осторожными с сообщениями, полученными в Steam, Discord или других связанных с играми платформах, а также не следует переходить по ссылкам, отправленным незнакомыми пользователями.

В марте 2022 года исследователь кибербезопасности mr.d0x описал атаку «браузер в браузере» (browser-in-the-browser, BitB). Новый способ кражи учетных данных для входа в систему имитирует всплывающие окна браузера от Google, Microsoft и других поставщиков услуг аутентификации, которые запрашивают имя пользователя и пароль.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь