CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Noi atacuri de tip Browser-in-the-Browser folosite pentru a fura conturi Steam

Noua tehnică de phishing numită Browser-in-the-Browser (BiTB), este tot mai populară printre atacatorii care au avut ca obiectiv să fure credențiale pentru conturile Steam.

Tehnica BiTB este o metodă de atac ce implică crearea de ferestre false de browser în fereastra activă, făcându-l să apară ca o pagină pop-up de conectare.

În martie 2022, BleepingComputer a raportat pentru prima dată despre capacitățile acestui nou tip de phishing creat de cercetătorul de securitate mr.d0x. Folosind acest kit de phishing, atacatorii creează formulare de conectare false pentru Steam, Microsoft, Google și alte servicii.

Recent, Group-IB a publicat un nou raport pe această temă, prezentând modul în care o nouă campanie care utilizează metoda BiTB vizează utilizatorii Steam, urmărind conturile jucătorilor profesioniști.

În urma acestor atacuri de tip phishing se urmărește vânzarea conturilor Steam furate, evaluate între 100.000 USD și 300.000 USD.

Group-IB raportează că acest kit de phishing folosit în campania Steam nu este disponibil pe scară largă în forumurile de hacking sau pe piețele dark web. În schimb, este folosit în privat de atacatorii care folosesc Discord sau Telegram pentru a-și coordona atacurile.

Potențialele victime sunt abordate cu mesaje directe pe Steam, invitându-le să se alăture unei echipe pentru turneele LoL, CS, Dota 2 sau PUBG.

Atacul se desfășoară prin aducerea țintelor în fața unui site ce pare a fi o organizație ce sponsorizează și găzduiește competiții esports.

Pentru a se alătura unei echipe și a juca într-o competiție, vizitatorilor li se cere să se conecteze prin contul lor Steam. Cu toate acestea, noua fereastră a paginii de conectare nu este o fereastră reală a browserului suprapusă peste site-ul web existent, ci mai degrabă o fereastră falsă creată în pagina curentă, ceea ce face să fie foarte greu de detectat dacă este un atac de phishing.

Odată ce victima își introduce credențialele, un nou formular solicită introducerea codului 2FA.

Dacă autentificarea are succes, utilizatorul este redirecționat către o adresă URL specificată de C2, de obicei o adresă legitimă, pentru a minimiza șansele ca victima să realizeze compromiterea contului.

În acest moment, credențialele victimei au fost deja furate și trimise către atacatori. În următoarea etapă atacatorii fura conturile Steam, schimbând parolele și adresele de e-mail pentru a face mai dificil pentru victime să obtina din nou controlul asupra conturilor.

Cum să depistați un atac de tip Browser-in-the-Browser

În exemplele cunoscute adresa URL din fereastra de phishing este cea legitimă, deoarece atacatorii pot să afișeze orice doresc, deoarece nu este o fereastră de browser, ci doar o redare a uneia.

Același lucru este valabil și pentru simbolul de blocare a certificatului SSL, care indică o conexiune HTTPS, creând un fals sentiment de securitate pentru victime.

Mai rău, kitul de phishing le permite utilizatorilor să mute fereastra falsă, să o minimizeze, să o maximizeze și să o închidă, făcându-l foarte dificil de identificat ca fiind o fereastră falsă.

Creatorul setului de instrumente BiTB, Mr.D0x, a declarat că cea mai bună metodă de a verifica dacă o fereastră pop-up este reală este să încercați să o mutați peste fereastra originală a browserului.

Încercați întotdeauna să mutati fereastra pop-up la marginea browserului. Dacă trece sub marginile browserului, atunci este de tip BiTB.

Group-IB a împărtășit și următoarele modalități de a detecta atacurile de tip BiTB:

  • Verificați dacă o nouă fereastră este deschisă în bara de activități, presupunând că faceți ungroup pentru programele din bara de activități Windows 10. Dacă nu există o nouă fereastră din bara de activități, atunci aceasta nu este o fereastră reală. Din păcate, Windows 11 nu acceptă ungroup în acest moment.
  • Încercați să redimensionați fereastra. Dacă nu puteți, este probabil să fie o fereastră de browser falsă.
  • Ferestrele false BiTB se vor închide dacă le minimizați.

În general, fiți foarte atenți la mesajele directe primite pe Steam, Discord sau alte platforme legate de jocuri și evitați să accesati link-urile trimise de utilizatori pe care nu îi cunoașteți.

Sursa: https://www.bleepingcomputer.com/news/security/hackers-steal-steam-accounts-in-new-browser-in-the-browser-attacks/

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică