14/09/22
Новый метод фишинг-атаки под названием «Браузер в браузере» (Browser-in-the-Browser, BitB), раскрытый в марте 2022 года , становится все более популярным среди хакеров и предназначен для кражи учетных данных профессиональных игроков Steam. Эти фишинговые атаки направлены на продажу доступа к учетным записям, при этом стоимость некоторых известных учетных записей Steam составляет от $100 000 до $300 000.
Техника «Браузер в браузере» представляет из себя создание поддельного окна браузера в активном окне в качестве всплывающей страницы входа.
Group-IB сообщает, что фишинговый набор, использованный в кампании, недоступен для широкого круга пользователей на хакерских форумах или в даркнете, передает Securitylab. Он используется в частном порядке хакерами, которые собираются вместе в каналах Discord или Telegram для координации своих атак.
Потенциальные жертвы получают сообщения в Steam с приглашением присоединиться к команде для участия в турнирах по League of Legends, Counter Strike, Dota 2 или PUBG.
Ссылка приведет жертву на фишинговый сайт, который имитирует организацию, спонсирующую и проводящую турнир.
Чтобы присоединиться к команде и принять участие в соревновании, посетителям предлагается войти в систему через свою учетную запись Steam. Однако, новое окно страницы входа — это не настоящее окно браузера, наложенное поверх существующего веб-сайта. Это поддельное окно, созданное на текущей странице, из-за чего его очень трудно распознать как фишинговую атаку.
.png?width=664&name=content-img(440).png)
Целевые страницы даже поддерживают 27 языков и загружают язык пользователя, определив язык в настройках его браузера.
Как только жертва вводит свои учетные данные, форма предлагает ей ввести код двухфакторной аутентификации (2FA). Если второй шаг не удался, отображается сообщение об ошибке.
Если аутентификация прошла успешно, пользователь перенаправляется на настоящий, законный URL-адрес (адрес C&C-сервера), чтобы свести к минимуму вероятность того, что жертва осознает компрометацию.
На данный момент учетные данные жертвы уже украдены и отправлены злоумышленникам. В подобных атаках киберпреступники быстро захватывают учетные записи Steam, меняя пароли и адреса электронной почты, чтобы жертвам было труднее восстановить контроль над своими учетными записями.
Во всех случаях атаки «Браузер в браузере» URL-адрес в фишинговом окне является законным, поскольку злоумышленники могут отображать все, что захотят, поскольку это не окно браузера, а просто его рендеринг.
Также в окне отображается символ блокировки SSL-сертификата, указывающий на HTTPS-соединение, что создает у жертв ложное чувство безопасности.
Кроме того, фишинговый пользователь может перетаскивать поддельное окно, сворачивать его и закрывать, что затрудняет обнаружение фальшивого окна браузера в браузере.
Поскольку этот метод требует JavaScript, блокировка JS-скриптов предотвратит отображение фишингового входа в систему. Однако, большинство людей не блокируют скрипты, так как это нарушит работу многих популярных веб-сайтов.
Эксперты порекомендовали пользователям быть осторожными с сообщениями, полученными в Steam, Discord или других связанных с играми платформах, а также не следует переходить по ссылкам, отправленным незнакомыми пользователями.
