Остерегайтесь хакеров, использующих поддельный браузер Windows для кражи ваших учетных данных Steam

Хакеры, использующие поддельные окна браузера, крадут учетные данные Steam
Фирма по кибербезопасности Group-IB сегодня опубликовала исследование, в котором подробно рассказывается, как различные злоумышленники крадут учетные данные для входа в Steam с помощью окон браузера. Только в июле специалисты группы реагирования на компьютерные чрезвычайные ситуации Group-IB (CERT-GIB) обнаружили более 150 фишинговых ресурсов, имитирующих Steam. Учетные записи Steam могут стать ценными целями, так как некоторые учетные записи загружены играми и предметами коллекционирования, стоимость которых может превышать 100 000 долларов.

Некоторые недавние фишинговые атаки на учетные записи Steam пытаются заманить ничего не подозревающих пользователей личными сообщениями, предлагающими билеты на киберспортивные мероприятия со скидкой, возможность присоединиться к киберспортивным турнирам или возможность проголосовать за любимую киберспортивную команду пользователя. Некоторые субъекты угроз устраивают игровые прямые трансляции, подобные недавней прямые трансляции мошенничества с криптовалютой . Вместо того, чтобы предлагать бесплатную криптовалюту, эти игровые прямые трансляции рекламируют бесплатные элементы настройки персонажа в игре. Все эти различные предложения включают ссылки на веб-сайты, контролируемые злоумышленниками. Эти веб-сайты выглядят законными и побуждают пользователей запрашивать предложение, войдя в Steam. Однако окна входа в Steam, которые появляются, когда пользователи следуют этим подсказкам, не являются настоящими окнами.

Bitb Steam пример фишинга окна новостей
Поддельное окно входа в Steam, анимированное фишинговой веб-страницей (нажмите, чтобы увеличить) (источник: Group-IB )

Ранее в этом году исследователь кибербезопасности опубликовал доказательство концепции атаки, которую он назвал « Браузер в браузере » (BITB). Этот метод фишинга предназначен для того, чтобы обмануть пользователей, заставив их думать, что они просматривают законное окно входа в систему, анимируя поддельное интерактивное окно на веб-странице в браузере пользователя. Злоумышленники могут спроектировать эти ложные окна входа в систему так, чтобы они отображали легитимные URL-адреса с действительными SSL-сертификатами HTTPS, чтобы обмануть пользователей, заставив их думать, что окна входа в систему безопасны.

Атаки BITB теперь перешли от проверки концепции к реальности, поскольку злоумышленники используют эту технику в своих фишинговых атаках на учетные записи Steam. На изображении выше показан пример интерактивного поддельного окна входа в Steam на фишинговой веб-странице. Пользователи могут перемещать окно внутри границ веб-браузера и менять язык страницы входа. Поддельная страница может определить, включена ли в учетной записи пользователя двухфакторная аутентификация (2FA). Если это так, окно обновится с запросом на ввод кода 2FA.

Все учетные данные для входа, введенные в это фальшивое окно, отправляются на сервер управления и контроля (C2) злоумышленника и передаются в Steam, предоставляя злоумышленнику доступ к учетным записям Steam пользователей. Чтобы не стать жертвой атаки BITB, пользователи могут выполнять несколько проверок, чтобы увидеть, являются ли окна входа реальными или анимированными. Реальные окна входа появятся на панели задач, будут иметь тот же дизайн, что и родительский браузер, и иметь функциональную адресную строку. Пользователи также могут попробовать свернуть окно на панель задач или переместить окно за пределы браузера. Поддельное окно браузера не сможет выполнить ни одно из этих действий. Отключение или блокировка javascript — еще одна защита от атак BITB, хотя это обычно также мешает легитимным порталам входа в систему.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал