Фишинг-атака «Браузер в браузере» направлена на кражу учетных данных Steam.
Новый метод фишинг-атаки под названием «Браузер в браузере» (Browser-in-the-Browser, BitB), раскрытый в марте 2022 года , становится все более популярным среди хакеров и предназначен для кражи учетных данных профессиональных игроков Steam. Эти фишинговые атаки направлены на продажу доступа к учетным записям, при этом стоимость некоторых известных учетных записей Steam составляет от $100 000 до $300 000.
Техника «Браузер в браузере» представляет из себя создание поддельного окна браузера в активном окне в качестве всплывающей страницы входа.
Group-IB сообщает , что фишинговый набор, использованный в кампании, недоступен для широкого круга пользователей на хакерских форумах или в даркнете. Он используется в частном порядке хакерами, которые собираются вместе в каналах Discord или Telegram для координации своих атак.
Потенциальные жертвы получают сообщения в Steam с приглашением присоединиться к команде для участия в турнирах по League of Legends, Counter Strike, Dota 2 или PUBG.
https://www.securitylab.ru/upload/im...t-img(438).png
Злоумышленник отправляет фишинговое приглашение
Ссылка приведет жертву на фишинговый сайт, который имитирует организацию, спонсирующую и проводящую турнир.
https://www.securitylab.ru/upload/im...t-img(439).png
Фишинговый сайт организатора турниров
Чтобы присоединиться к команде и принять участие в соревновании, посетителям предлагается войти в систему через свою учетную запись Steam. Однако, новое окно страницы входа — это не настоящее окно браузера, наложенное поверх существующего веб-сайта. Это поддельное окно, созданное на текущей странице, из-за чего его очень трудно распознать как фишинговую атаку.
https://www.securitylab.ru/upload/im...t-img(440).png
Фишинговое окно, созданное внутри фишингового сайта
Целевые страницы даже поддерживают 27 языков и загружают язык пользователя, определив язык в настройках его браузера.
Как только жертва вводит свои учетные данные, форма предлагает ей ввести код двухфакторной аутентификации (2FA). Если второй шаг не удался, отображается сообщение об ошибке.
https://www.securitylab.ru/upload/im...t-img(441).png
Запрос жертвы на повторный ввод кода 2FA
Если аутентификация прошла успешно, пользователь перенаправляется на настоящий, законный URL-адрес (адрес C&C-сервера), чтобы свести к минимуму вероятность того, что жертва осознает компрометацию.
На данный момент учетные данные жертвы уже украдены и отправлены злоумышленникам. В подобных атаках киберпреступники быстро захватывают учетные записи Steam, меняя пароли и адреса электронной почты, чтобы жертвам было труднее восстановить контроль над своими учетными записями.
Во всех случаях атаки «Браузер в браузере» URL-адрес в фишинговом окне является законным, поскольку злоумышленники могут отображать все, что захотят, поскольку это не окно браузера, а просто его рендеринг.
Также в окне отображается символ блокировки SSL-сертификата, указывающий на HTTPS-соединение, что создает у жертв ложное чувство безопасности.
Кроме того, фишинговый пользователь может перетаскивать поддельное окно, сворачивать его и закрывать, что затрудняет обнаружение фальшивого окна браузера в браузере.
https://www.securitylab.ru/upload/im...t-img(442).png
Поддельное окно входа в систему отображается в главном окне
Поскольку этот метод требует JavaScript, блокировка JS-скриптов предотвратит отображение фишингового входа в систему. Однако, большинство людей не блокируют скрипты, так как это нарушит работу многих популярных веб-сайтов.
Эксперты порекомендовали пользователям быть осторожными с сообщениями, полученными в Steam, Discord или других связанных с играми платформах, а также не следует переходить по ссылкам, отправленным незнакомыми пользователями.
В марте 2022 года исследователь кибербезопасности mr.d0x описал атаку «браузер в браузере» (browser-in-the-browser, BitB). Новый способ кражи учетных данных для входа в систему имитирует всплывающие окна браузера от Google, Microsoft и других поставщиков услуг аутентификации, которые запрашивают имя пользователя и пароль.