- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 2ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
Техника «Браузер в браузере» представляет из себя создание поддельного окна браузера в активном окне в качестве всплывающей страницы входа.
Group-IB сообщает , что фишинговый набор, использованный в кампании, недоступен для широкого круга пользователей на хакерских форумах или в даркнете. Он используется в частном порядке хакерами, которые собираются вместе в каналах Discord или Telegram для координации своих атак.
Потенциальные жертвы получают сообщения в Steam с приглашением присоединиться к команде для участия в турнирах по League of Legends, Counter Strike, Dota 2 или PUBG.
Ссылка приведет жертву на фишинговый сайт, который имитирует организацию, спонсирующую и проводящую турнир.
Чтобы присоединиться к команде и принять участие в соревновании, посетителям предлагается войти в систему через свою учетную запись Steam. Однако, новое окно страницы входа — это не настоящее окно браузера, наложенное поверх существующего веб-сайта. Это поддельное окно, созданное на текущей странице, из-за чего его очень трудно распознать как фишинговую атаку.
Целевые страницы даже поддерживают 27 языков и загружают язык пользователя, определив язык в настройках его браузера.
Как только жертва вводит свои учетные данные, форма предлагает ей ввести код двухфакторной аутентификации (2FA). Если второй шаг не удался, отображается сообщение об ошибке.
Если аутентификация прошла успешно, пользователь перенаправляется на настоящий, законный URL-адрес (адрес C&C-сервера), чтобы свести к минимуму вероятность того, что жертва осознает компрометацию.
На данный момент учетные данные жертвы уже украдены и отправлены злоумышленникам. В подобных атаках киберпреступники быстро захватывают учетные записи Steam, меняя пароли и адреса электронной почты, чтобы жертвам было труднее восстановить контроль над своими учетными записями.
Во всех случаях атаки «Браузер в браузере» URL-адрес в фишинговом окне является законным, поскольку злоумышленники могут отображать все, что захотят, поскольку это не окно браузера, а просто его рендеринг.
Также в окне отображается символ блокировки SSL-сертификата, указывающий на HTTPS-соединение, что создает у жертв ложное чувство безопасности.
Кроме того, фишинговый пользователь может перетаскивать поддельное окно, сворачивать его и закрывать, что затрудняет обнаружение фальшивого окна браузера в браузере.
Поскольку этот метод требует JavaScript, блокировка JS-скриптов предотвратит отображение фишингового входа в систему. Однако, большинство людей не блокируют скрипты, так как это нарушит работу многих популярных веб-сайтов.
Эксперты порекомендовали пользователям быть осторожными с сообщениями, полученными в Steam, Discord или других связанных с играми платформах, а также не следует переходить по ссылкам, отправленным незнакомыми пользователями.
