黑客正在发起新的攻击以使用浏览器中的浏览器网络钓鱼技术窃取 Steam 凭据,该技术在威胁参与者中越来越流行。
Browser-in-the-Browser 技术是一种趋势攻击方法,涉及在活动窗口中创建虚假浏览器窗口,使其显示为目标登录服务的登录弹出页面。
2022 年 3 月,ZZQIDC率先报告 了由安全研究员 mr.d0x创建的这种新网络钓鱼工具包的功能。使用此网络钓鱼工具包,攻击者可以为 Steam、Microsoft、Google 和任何其他服务创建虚假登录表单。
今天, Group-IB 发布了一份关于该主题的新报告,说明了使用“浏览器中的浏览器”方法的新活动如何针对 Steam 用户,以追求专业游戏玩家的帐户。
这些网络钓鱼攻击旨在出售对这些帐户的访问权限,一些著名的 Steam 帐户价值在 100,000 美元到 300,000 美元之间。
以锦标赛为诱饵
Group-IB 报告称,观察到的 Steam 活动中使用的网络钓鱼工具包在黑客论坛或暗网市场中并未广泛使用。相反,它被聚集在 Discord 或 Telegram 频道上的黑客私下使用,以协调他们的攻击。
Steam 上的直接消息将潜在受害者作为目标,邀请他们加入英雄联盟、CS、Dota 2 或 PUBG 锦标赛的团队。
威胁参与者通过 DM (Group-IB)发送网络钓鱼 URL
网络钓鱼参与者共享的链接会将目标带到一个网络钓鱼站点,该站点似乎是一个赞助和举办电子竞技比赛的组织。
假游戏锦标赛平台 (Group-IB)
要加入团队并参加比赛,访问者需要通过他们的 Steam 帐户登录。但是,新的登录页面窗口并不是覆盖在现有网站上的实际浏览器窗口,而是在当前页面中创建的虚假窗口,因此很难将其识别为网络钓鱼攻击。
在网络钓鱼站点 (Group-IB)内创建的网络钓鱼窗口
登陆页面甚至支持 27 种语言,从受害者的浏览器偏好中检测语言并加载正确的语言。
一旦受害者输入他们的凭据,一个新的表单就会提示他们输入 2FA 代码。如果第二步不成功,则会显示错误消息。
要求受害者重新输入他们的 2FA 代码 (Group-IB)
如果身份验证成功,用户将被重定向到 C2 指定的 URL,通常是合法地址,以最大限度地减少受害者意识到危害的机会。
此时,受害者的凭据已被盗并发送给威胁参与者。在类似的攻击中,威胁行为者迅速劫持 Steam 帐户,更改密码和电子邮件地址,使受害者更难重新获得对其帐户的控制权。
如何发现浏览器中的浏览器攻击
在所有 Browser-in-the-Browser 网络钓鱼案例中,网络钓鱼窗口中的 URL 都是合法的,因为威胁参与者可以自由显示他们想要的任何内容,因为它不是浏览器窗口,而只是一个渲染窗口。
这同样适用于 SSL 证书锁定符号,指示 HTTPS 连接,给受害者造成错误的安全感。
更糟糕的是,网络钓鱼工具包允许用户拖动虚假窗口,将其最小化、最大化和关闭,因此很难将其识别为浏览器中的虚假浏览器窗口。
在主窗口 (Group-IB)中呈现的假登录窗口
由于该技术需要 JavaScript,因此积极阻止 JS 脚本将防止显示假登录。但是,大多数人不会阻止脚本,因为它会破坏许多流行的网站。
一般来说,要非常警惕在 Steam、Discord 或其他游戏相关平台上收到的直接消息,并避免跟踪您不认识的用户发送的链接。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客在新的Browser-in-the-Browser攻击中窃取Steam帐户
